全球互聯網走向全面加密時代已經是大勢所趨。但在加密訪問可保障通訊安全的情況下，絕大多數網絡設備對網絡攻擊、惡意軟件等加密流量卻無能為力。攻擊者利用SSL加密通道完成惡意軟件載荷和漏洞利用的投遞和分發，以及受感染主機與命令和控制(C&C)服務器之間的通信。

Gartner預測：2019年，超過80%的企業網絡流量將被加密，屆時加密的流量中將隱藏超過一半以上的網絡惡意軟件。面對這一嚴峻形勢，世界一流的安全廠商如思科、Redware，以及一些安全初創公司，紛紛開始研究針對加密流量的安全檢測與防護手段，并先后發布了相應產品。但在國內，這一新型檢測技術尚屬稀缺。

近日，國內安全初創公司觀成科技宣布，正式發布有效針對惡意加密流量的AI檢測引擎。安全牛分析師第一時間與觀成科技的研究人員溝通，并將其提供的技術資料整理如下：

一、 使用加密流量的惡意用途分析

通過對大量惡意加密流量的分析，加密通信中的惡意流量一般包括如下三大類：

1. 惡意代碼使用加密通信

這一類主要是指惡意代碼、惡意軟件為逃避安全產品和人的檢測，使用加密通信來偽裝或隱藏明文流量特征。從對大量惡意軟件監測分析的情況來看，使用加密協議進行通信的惡意軟件幾乎覆蓋了所有類型，如：

（1）特洛伊木馬；

（2）勒索軟件；

（3）感染式病毒；

（4）蠕蟲病毒；

（5）下載器；

（6）其它。

通過對數以萬計的使用加密通信的惡意樣本深度分析發現，惡意樣本在流量側具備以下幾個特點：

（1）使用端口不固定，包括：443、446、447、448、449、465、843、990、8443等；

（2）加密協議使用廣泛，以SSL為例，包括：SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2；

（3）大量惡意樣本經常變換回連IP和域名；

（4）部分樣本使用加密協議連接白站探測網絡環境或利用白站中轉通信；

（5）部分樣本使用域前置等技術規避安全檢測。

下面針對幾類典型惡意行為進行簡單闡述。

（1）頻繁更換回聯域名/IP

很多惡意家族樣本為逃避檢測，頻繁更換回聯域名和IP，并使用加密通信。如IcedID家族，在2018年7月至9月所使用的域名如下：

與C&C連接采用SSL加密通信截圖如下:

（2）利用白站進行中轉通信

部分惡意樣本，利用白站（如Google云、Amazon云等）進行中轉通信，從下發惡意程序到更新回連地址均使用白站，從而達到規避檢測、隱蔽通信的目的。

（3）使用“域前置”技術

域前置（Domain fronting），又譯為域名幌子，是一種隱藏連接真實端點來規避互聯網審查的技術。在應用層上運作時，域前置使用戶能通過HTTPS連接到被屏蔽的服務，而表面上像在與另一個完全不同的站點通信。如某惡意樣本利用“域前置”技術，在DNS請求時向“allowed.cloudfront[.]net”發起一個合法請求，而真正連接C&C地址被轉發到為“forbidden.cloudfront[.]net”，如圖所示：

2. 加密通道中的惡意攻擊行為

加密通道中的惡意攻擊行為，主要是指攻擊者利用已建立好的加密通道發起攻擊。攻擊行為包括：

（1）掃描探測；

（2）暴力破解；

（3）信息竊密；

（4）CC攻擊；

（5）其它。

隱藏在加密通道后的攻擊行為很難通過傳統的方式進行檢測，但攻擊流量在IP、端口分布、TLS指紋、數據包間隔、數據包長度等方面還是有著明顯特征的，下面是幾類基于SSL通道的攻擊流量。

基于SSL通道暴力破解攻擊通信如下圖所示：

基于SSL通道Web掃描攻擊通信如下圖所示：

基于SSL通道竊密行為如下圖所示：

基于SSL通道CC攻擊通信如下圖所示：

3. 惡意或非法加密應用

該類是指使用加密通信的一些惡意、非法應用，如：

（1）Tor；

（2）翻墻軟件；

（3）非法VPN；

（4）其它。

二、人工智能與惡意加密流量的對抗

密碼應用幫助大量用戶保護其核心信息的存儲及傳輸，但它同時也是一把雙刃劍，正是因為難破解、難監測，密碼技術也受到攻擊者的青睞。攻擊者同樣可以用密碼技術來保護自己的“核心信息”，隱藏自己的“行蹤”。

攻擊者利用密碼的方式，可以概括為以下四類：

（1）加密正常文件，勒索錢財；

（2）加密惡意代碼，繞過查殺；

（3）加密網絡流量，逃避檢測；

（4）嗅探破解密碼，獲取權限。

當前，流量安全檢測技術在應對惡意加密流量時面臨嚴峻挑戰。網絡安全伴隨攻防雙方的博弈而誕生和發展。在這場博弈中，防守方處于劣勢的被動狀態。在識別、防護、檢測、響應、恢復整個網絡安全事件生命周期中，防守方通過攻擊方在流量側或終端側留下的蛛絲馬跡完成事件的發現尤為關鍵。因此攻擊數據分析在網絡安全工作中占據核心地位。

如前所述，傳統流量安全檢測技術在處理加密流量時遇到了困難，一直沒有比較好的檢測方法。隨著人工智能技術的發展，通過大量的測試驗證，人工智能用于加密流量安全檢測，將是一種非常好的輔助手段。利用專家經驗知識對大量加密流量進行統計、分析，通過人工智能算法賦予機器以專家的智慧。雖然機器不能完全取代人，但是經過訓練，在自動化檢出率、準確率、漏報率等方面，機器可以獲得媲美專家的能力。

三、加密流量安全檢測技術（ENS:Encrypted Network-threaten Sensor）剖析

通過對大量使用加密通信的惡意樣本、各類加密通道的攻擊行為、多種惡意或非法應用進行深度分析、數據觀測，對多種檢測手段進行探索、測試和驗證，總結出了一套針對加密流量行之有效的安全檢測方法，技術流程圖如下：

整個檢測流程共分6個步驟：

1. 數據實時搜集

為保證檢測引擎的準確性和時效性，數據搜集的準確度、覆蓋面是關鍵。數據搜集包括3個來源途徑：

（1）實際網絡環境；

（2）模擬測試數據；

（3）跟蹤最新樣本和最新攻擊方式。

搜集數據包括：

（1）使用加密通信的惡意樣本，超過200個家族，覆蓋各類惡意行為、SSL版本和加密算法；

（2）可在加密通道發起攻擊行為的各類攻擊軟件、以及實際環境的數據，攻擊類型包括：掃描探測、暴力破解、CC攻擊等；

（3）各類惡意應用軟件及實際環境數據，包括：Tor、自由門、無界瀏覽等。

2. 數據分析與處理

為確保數據集完整和無雜質，觀成科技的分析團隊對搜集的所有數據進行了深度分析和整理，確保后期輸出給AI模型訓練的數據質量。分析任務包括：深度分析惡意樣本的功能、加密機制、通聯方式、危害等；分析攻擊和惡意軟件的攻擊類型、數據格式、加密方式等。數據處理包括兩個步驟，一是通過沙箱、虛擬機獲取樣本通信數據，二是將數據進行格式化處理。

3. 數據分類

惡意加密流量是一個寬泛的概念，里面包括的惡意行為成百上千種，每一類數據特征均有細微的差別，想要獲取更高的準確率，就必須先弄清每一類加密流量的背景及特性。通過對海量惡意加密流量的分析，可以把它們分為三大類：

（1）惡意代碼使用加密通信的流量，其中包括超過200種家族，惡意代碼類型包括：特洛伊木馬、勒索軟件、感染式病毒、蠕蟲病毒、下載器、其它；其加密通聯方式又包括六類：連接C&C服務器、檢測主機聯網環境、母體程序正常通信、白站隱蔽中轉、蠕蟲傳播通信、其它。

（2）加密通道中的惡意攻擊流量，攻擊類型包括：探測掃描、暴力破解、信息竊取、CC攻擊、其它。

（3）惡意或非法加密應用的通信流量，應用包括：Tor、翻墻軟件、非法VPN等。

4. 構建特征工程

特征工程在機器學習中占有非常重要的作用，一般認為包括特征構建、特征提取、特征選擇三個部分。為保證后期檢測引擎準確率足夠高，特征工程是關鍵，所以需要在特征工程上花費大量精力。

構建、提取、選擇特征工程的方法包括四步：先驗知識驗證、啟發式搜索分析、降維可視化分析、綜合工程測試。

觀成科技把加密流量的特征共分為四大類：時空特征、握手特征、背景特征、證書特征；在這四大類的基礎上，又分為54個子類、超過1000種特征。這些特征足夠細粒度地描述每一次加密會話，體現不同類加密流量中最細微的差別。

構建特征工程階段，同時進行深度特征抽取，通過CNN、RNN算法對部分特征進行訓練，如下圖為通過RNN訓練得出的SSL證書信息正常度量化結果，從訓練結果可看出特征區分非常明顯。

5. 檢測模型訓練

模型訓練使用的算法包括線性回歸（LinReg）、隨機森林（RandomForest）、決策樹（DecTree）、神經網絡（MLP）、支持向量機（SVM）、邏輯回歸（LogReg）、卷積神經網絡（CNN）?？紤]到工程化的穩定性和成熟度，根據訓練和測試結果，在不同的應用場景分別采用了不同的機器學習算法，橫向比較中，隨機森林的綜合效果相對較好。

通過初步訓練，各類算法得到的正確率都高于99%。如圖所示：

6. 模型迭代與優化

模型初步訓練完成之后，接下來就是對模型進行不斷優化，優化的方法包括對選定的模型進一步參數調優、驗證和測試，實際網絡流量數據測試與迭代訓練。最終針對各類型的加密流量，根據實際測試結果，選用效果最佳的算法及參數，保證準確率。

四、成果與展望

經過大量數據驗證和實際網絡測試，目前在加密流量安全檢測的檢出率可達到99.95%，誤報率可控制在5%以下；支持檢測的網絡協議包括SSL（HTTPS、POP3S、IMAPS、FTPS）、SSH、RDP等；支持檢測的SSL版本包括SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2；支持檢測的惡意加密流量包括：超過200種家族惡意代碼通信（特洛伊木馬、勒索軟件、感染式病毒、蠕蟲病毒、下載器等），加密通道中的掃描探測、暴力破解和CC攻擊等，Tor（暗網）、翻墻軟件、非法VPN等應用的通信。加密流量安全檢測將是未來安全檢測最重要的趨勢之一，可應用的場景總結有三部分：

一是監管單位對所監管網絡中惡意加密威脅的檢測；二是政企客戶對網絡中惡意加密威脅的檢測與防御；三是對現有安全產品、安全平臺進行能力補充。

現在及將來，基于密碼技術的攻擊行為、攻擊手法將層出不窮；基于加密流量的檢測與防御也是網絡空間安全博弈、對抗的核心焦點，是安全領域的一個長期研究課題。觀成科技希望以此技術報告來呼吁用戶和廣大安全從業者重視加密流量的安全檢測與防御，共同學習、探討，營造良性網絡生態。

責任編輯：韓希宇