加密是保護(hù)隱私的一個(gè)重要手段，能夠保護(hù)我們的數(shù)據(jù)不被窺探，能夠阻止犯罪分子竊取我們的信用卡信息、應(yīng)用的使用習(xí)慣或密碼。

加密的重要性不言而喻，據(jù)最新報(bào)告顯示，截止今年2月，半數(shù)的在線流量均被加密。對(duì)于特定類型的流量，加密甚至已成為法律的強(qiáng)制性要求。

Gartner認(rèn)為，到2019年，超過80%的企業(yè)網(wǎng)絡(luò)流量將被加密。雖然這對(duì)于重視隱私的用戶來說是一個(gè)福音，但I(xiàn)T團(tuán)隊(duì)將面臨著嚴(yán)峻挑戰(zhàn)。面對(duì)大量涌入的流量，如果沒有解密技術(shù)，IT團(tuán)隊(duì)將無法查看流量內(nèi)包含的信息。

這意味著加密是一把雙刃劍，保護(hù)隱私的同時(shí)也讓不法分子有了可乘之機(jī)。加密能夠像隱藏其他信息一樣隱藏惡意軟件，從而帶來一系列蠕蟲（以及木馬和病毒）。

思科首席工程師TK Keanini表示：“據(jù)Gartner預(yù)測(cè)，到2019年，半數(shù)的惡意軟件活動(dòng)將利用某種類型的加密來隱藏交付、命令、控制活動(dòng)以及數(shù)據(jù)泄露。”思科今日宣布推出的一款新產(chǎn)品正好可以用來應(yīng)對(duì)這一威脅。

惡意軟件制造者對(duì)于加密非常了解，并且懂得如何利用這一技術(shù)。Gartner認(rèn)為：“隨著HTTPS的使用量超過HTTP，通過加密網(wǎng)絡(luò)通道傳遞的惡意軟件將變得越來越多。”

《賽馬郵報(bào)》的安全經(jīng)理Alan Cain評(píng)論道：“Facebook、Twitter和LinkedIn等網(wǎng)站都在使用SSL，這些網(wǎng)站在過去都曾遭受過‘綁架贊（Likejacking）’、惡意軟件傳播、數(shù)據(jù)泄露和垃圾郵件等威脅的侵害。80%的安全系統(tǒng)不能識(shí)別或防范SSL流量中的威脅，這使得加密的惡意軟件成為當(dāng)前業(yè)界最大的威脅。”

因此，Gartner認(rèn)為，到2020年，超過60%的企業(yè)將無法有效解密HTTPS流量，從而“無法有效檢測(cè)出具有針對(duì)性的網(wǎng)絡(luò)惡意軟件。”

Gartner認(rèn)為，屆時(shí)加密的流量中將隱藏超過70%的網(wǎng)絡(luò)惡意軟件，而對(duì)抗這些威脅的手段將會(huì)受制于反解密系統(tǒng)，即便是最大的IT團(tuán)隊(duì)也無法忽視這一問題。

直到現(xiàn)在，處理此問題的常見方法是解密流量，并使用諸如新一代防火墻等設(shè)備查看流量。這種方法耗時(shí)較長，且需要在網(wǎng)絡(luò)中添加額外的設(shè)備。隨著威脅環(huán)境不斷變化，將安全功能集成到網(wǎng)絡(luò)中將有助于檢測(cè)所有威脅，甚至是藏匿在加密流量中的威脅。

那么我們應(yīng)該如何抵御看不見的威脅呢？思科的專家找到了相關(guān)線索。

使用加密流量分析進(jìn)行威脅檢測(cè)

盡管您無法查看加密流量，但思科技術(shù)負(fù)責(zé)人Blake Anderson和思科高級(jí)安全研究事業(yè)部院士（Fellow）David McGrew發(fā)現(xiàn)了一種特殊的方法，可以獲知內(nèi)部隱藏內(nèi)容的線索。

Anderson和McGrew在去年十月發(fā)表的一篇名為《利用環(huán)境流量數(shù)據(jù)識(shí)別加密惡意軟件流量》的文章中寫道：“識(shí)別加密網(wǎng)絡(luò)流量中的威脅，為我們帶來了一系列網(wǎng)絡(luò)安全挑戰(zhàn)。”監(jiān)控這一流量對(duì)于發(fā)現(xiàn)威脅和識(shí)別惡意軟件來說非常重要，他們表示：“我們需要一種能夠保持加密完整性的方式，來幫助我們實(shí)現(xiàn)這一目標(biāo)。” 他們開發(fā)了監(jiān)督機(jī)器學(xué)習(xí)模型，能夠充分利用網(wǎng)絡(luò)流數(shù)據(jù)獨(dú)特且多樣化的特性。他們介紹道：“這些數(shù)據(jù)特性包括TLS握手元數(shù)據(jù)、鏈接到加密流的DNS環(huán)境流，以及五分鐘內(nèi)來自同一源IP地址的HTTP-環(huán)境流的HTTP標(biāo)頭。”

研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，提煉出了惡意軟件最明顯的一系列特性。

這一過程經(jīng)過了真實(shí)數(shù)據(jù)的測(cè)試，以確保不會(huì)產(chǎn)生誤報(bào)。最終思科推出了加密流量分析（ETA）技術(shù)，能夠在加密數(shù)據(jù)的三個(gè)特征中尋找惡意軟件的痕跡。

首先是聯(lián)接的初始數(shù)據(jù)包。這一數(shù)據(jù)包可能包含有關(guān)其余內(nèi)容的寶貴數(shù)據(jù)。然后是數(shù)據(jù)包長度和時(shí)間的順序，可以針對(duì)自加密流量開始傳輸以后的流量內(nèi)容提供重要線索。

最后，加密流量分析能夠檢查被分析的數(shù)據(jù)流中數(shù)據(jù)包的有效載荷上的字節(jié)分布。由于這一基于網(wǎng)絡(luò)的檢測(cè)流程由機(jī)器學(xué)習(xí)技術(shù)支持，其功效會(huì)隨著時(shí)間的推移而持續(xù)上升。

近日，思科推出了加密流量分析功能（Encrypted Traffic Analytics），并且將來自全新Catalyst? 9000交換機(jī)和Cisco4000系列集成多業(yè)務(wù)路由器的增強(qiáng)型NetFlow，與思科Stealthwatch的高級(jí)安全分析能力進(jìn)行組合。

思科企業(yè)網(wǎng)絡(luò)、物聯(lián)網(wǎng)和開發(fā)商平臺(tái)市場(chǎng)營銷副總裁Prashanth Shenoy表示：“思科憑借一流的安全產(chǎn)品組合，持續(xù)為其網(wǎng)絡(luò)設(shè)備構(gòu)建安全特性。思科推出的全面威脅防御架構(gòu)可將網(wǎng)絡(luò)作為傳感器和執(zhí)行平臺(tái)，來查看并處理所有威脅。”簡而言之，全球所有通過思科設(shè)備的流量現(xiàn)在都將向龐大的威脅檢測(cè)系統(tǒng)提供情報(bào)，使該系統(tǒng)能隨時(shí)隨地檢測(cè)并阻止威脅。Shenoy表示：“就如同我們看到有人在爭(zhēng)執(zhí)的時(shí)候，我們可能無法聽到他們?cè)谡f什么，但仍可以從他們的手勢(shì)和表情中得知發(fā)生了什么。思科擁有顯著的優(yōu)勢(shì)，為現(xiàn)有的和未來的客戶提供加密流量分析。只有采用我們最新芯片組的全新硬件才能夠高速實(shí)時(shí)地進(jìn)行分析，同時(shí)不會(huì)導(dǎo)致流量傳輸速度減緩。”

同時(shí)，思科的產(chǎn)品安裝量遙遙領(lǐng)先于全球其他網(wǎng)絡(luò)廠商，這意味著思科威脅防御系統(tǒng)的學(xué)習(xí)速度也遠(yuǎn)遠(yuǎn)超過其他廠商的產(chǎn)品。

采用Stealthwatch的思科網(wǎng)絡(luò)不僅可以檢測(cè)加密流量中的惡意軟件，還可提升加密合規(guī)性，包括揭示TLS策略違規(guī)、發(fā)現(xiàn)加密套件漏洞以及持續(xù)監(jiān)控網(wǎng)絡(luò)的不透明性等。

這意味著網(wǎng)絡(luò)將能夠檢測(cè)威脅，從而一舉解決了網(wǎng)絡(luò)加密流量所面臨的主要挑戰(zhàn)。Keanini表示：“借助我們的創(chuàng)新成果，企業(yè)將能更好地使用網(wǎng)絡(luò)來打造極具競(jìng)爭(zhēng)力的安全應(yīng)用。通過使用機(jī)器學(xué)習(xí)技術(shù)來分析元數(shù)據(jù)流量模式，思科甚至能夠在加密流量中發(fā)現(xiàn)已知威脅，并有效規(guī)避風(fēng)險(xiǎn)，而無需解密流量，這一技術(shù)手段是前所未有的。正是因?yàn)槿绱耍伎菩乱淮W(wǎng)絡(luò)將成為唯一一個(gè)既能為企業(yè)帶來強(qiáng)大安全性又能可靠保護(hù)隱私的系統(tǒng)。”