不解密数据竟也能识别TLS加密的恶意流量?

加密一直都是保护用户通讯隐私的重要特性,可如果恶意程序在传播过程中也加密的话,对这样的流量做拦截感觉就麻烦了很多。谈到加密,TLS(Transport
Layer Security
Protocol,传输层安全协议)就是当前使用非常广泛的协议:国外部分研究机构的数据显示,已有至多60%的网络流量采用TLS,当然也包括一些恶意程序(虽然大约只有10%)。

来自思科的一组研究人员最近研究出一种方法,不需要对这类流量进行解密,就能侦测到采用TLS连接的恶意程序,是不是感觉有点小神奇?

TLS协议

这是怎么做到的?

思科已经公开了这份研究报告,题为《辨认使用TLS的恶意程序(无需解密)》(英文其实表达得更为准确,名为”Deciphering
Malware’s use of
TLS”)。我们比较笼统地归结原理,其实是TLS协议本身引入了一系列复杂的数据参数特性——这些特性是可以进行观测检查的,这样自然就能针对通讯双方做出一些合理的推断。

这份报告中有提到:“通过这些特性,我们可以检测和理解恶意程序通讯方式,与此同时TLS本身的加密属性也能提供良性的隐私保护。”听起来似乎还是比较理想的新技术——在不需要对流量进行解密的情况下就达成流量安全与否的判断,的确具备很大意义。

为此,思科大约分析了18个恶意程序家族的数千个样本,并在企业网络中数百万加密数据流中,分析数万次恶意连接。整个过程中,网络设备的确不对用户数据做处理,仅是采用DPI(深度包检测技术)来识别clientHello和serverHello握手信息,还有识别连接的TLS版本。

“在这篇报告中,我们主要针对433端口的TLS加密数据流,尽可能公正地对比企业一般的TLS流量和恶意TLS流量。为了要确认数据流是否为TLS,我们需要用到DPI,以及基于TLS版本的定制signature,还有clientHello和serverHello的信息类型。”

“最终,我们在203个端口之上发现了229364个TLS流,其中443端口是目前恶意TLS流量使用最普遍的端口。尽管恶意程序端口使用情况多种多样,但这样的情况并不多见。”

不仅如此,据说他们还能就这些恶意流量,基于流量特性将之分类到不同的恶意程序家族中。“我们最后还要展示,在仅有这些网络数据的情况下,进行恶意程序家族归类。每个恶意程序家族都有其独特的标签,那么这个问题也就转化为不同类别的分类问题。”

“即便使用相同TLS参数,我们依然就够辨认和比较准确地进行分类,因为其流量模式相较其他流量的特性,还是存在区别的。我们甚至还能识别恶意程序更为细致的家族分类,当然仅通过网络数据就看不出来了。”

实际上,研究人员自己写了一款软件工具,从实时流量或者是抓取到的数据包文件中,将所有的数据输出为比较方便的JSON格式,提取出前面所说的数据特性。包括流量元数据(进出的字节,进出的包,网络端口号,持续时间)、包长度与到达间隔时间顺序(Sequence
of Packet Lengths and Times)、字节分布(byte distribution)、TLS头信息。

其实我们谈了这么多,还是很抽象,整个过程还是有些小复杂的。有兴趣的同学可以点击这里下载思科提供的完整报告。

分析结果准确性还不错

思科自己认为,分析结果还是比较理想的,而且整个过程中还融合了其机器学习机制(他们自己称为机器学习classifiers,应该就是指对企业正常TLS流量与恶意流量进行分类的机制,甚至对恶意程序家族做分类),正好做这一机制的测试。据说,针对恶意程序家族归类,其准确性达到了90.3%。

“在针对单独、加密流量的识别中,我们在恶意程序家族归类的问题上,能够达到90.3%的准确率。在5分钟窗口全部加密流量分析中,我们的准确率为93.2%(make
use of all encrypted flows within a 5-minute window)。”

作者:欧阳洋葱

来源:51CTO

时间: 2024-10-26 09:15:26

不解密数据竟也能识别TLS加密的恶意流量?的相关文章

无需解密:在TLS加密连接中揭开恶意软件的面纱

思科一组研究员认为,TLS(传输层安全)隧道中的恶意流量可在不解密用户流量的情况下,被检测并封锁. 企业环境下,这可谓是个大好消息,因为当今的防护都依赖于终止加密来检查流量这种争议性的方法. 在文章中,几位研究员解释称,恶意软件会在TLS流中留下可识别的痕迹. 他们的研究涵盖了18类恶意软件的几千个样本,从某企业网络中捕获的数百万加密数据流中识别出了数万恶意流量.他们指出,这种检测可能只企业网络有效,而对诸如服务提供商之类的无效. 在研究人员数据集中的深度包检测,其主要应用是嗅探出客户端和服务器

SQL SERVER2005加密解密数据

server|加密|解密|数据 讲述SQL Server 2005的数据加密功能和配置以及如何通过它实现对敏感数据的保护.   演示用的脚本提供给大家作为参考: -------------------------------------------------------------------------------- /*[课程]使用数据库加密保护敏感数据DEMO 1了解SQL2005加密层次结构[过程]过程一共分为4个部分*/--==================(I)服务主密钥====

学习-VPN数据包监测和识别,望高手指点

问题描述 VPN数据包监测和识别,望高手指点 VPN传输的数据包有什么特点,如何监测和识别VPN数据包,初学者,望高手指点 解决方案 一般业内都是用启发式的算法,对大量的数据包用机器学习去判断的. 解决方案二: VPN包有加密.需要通过中间人方式来进行破解,识别.不是很容易

阿里云智能视觉首席研究员华先胜:视觉大数据智能分析、识别和搜索

What's Happening 从智能交通到教室监控再到视频直播等等场景,生活中每天都在产生海量的图像/视频数据.在这些场景中,对图像/视频数据进行智能分析.挖掘其中的内容以及对其中的事件进行实时的分析并非易事. 图一 视觉智能  视觉智能发展朝向两个方向:云上智能和端上智能.云上的智能是指复杂的计算是在云上完成:端上智能则是在终端完成的,例如手机或摄像机本身自带的计算能力.自动驾驶等等. 云上智能除了单体的智能之外,还存在着整体的智能,也就是说也可以把大量数据放在一起进行计算.分析,然后挖掘

XP用户意外惊喜!中了想哭(WannaCry)勒索病毒后有机会解密数据

本文讲的是XP用户意外惊喜!中了想哭(WannaCry)勒索病毒后有机会解密数据,法国Quarkslab研究员阿德里安·古奈特(Adrien Guinet)周四表示,如果Windows XP系统遭到WCry勒索病毒的感染,用户可以自行解密数据,不必支付300至600美元的赎金.  阿德里安·古奈特(Adrien Guinet)发布了他所说的软件,该软件在实验室里恢复了感染的XP电脑所需的数据解密密钥.目前该软件尚未经过测试,看是否可以在各种XP计算机上可靠运行,不过即使它可以正常运行,也仍然有局

网络上捕获的数据包,如何判断是否加密?

问题描述 网络上捕获的数据包,如何判断是否加密?谢谢赐教 解决方案 解决方案二:这个不能看出来吧,数据加密不加密没有什么特征可以说明解决方案三:如果有TLS的报文,那说明肯定加密了,如果没有就不好确定了解决方案四:如果你指的是HTTPS,楼上说的对.如果非标准的协议,走TCP或者UDP的,那就很难判断了.要casebycase来看了.你可以把trace发给我,我帮你看卡,cosmosfang@hotmail.com解决方案五:不知用随机性检测是否能判断,NISTTEST,目前正从这方面考虑解决方

jcersacipher加密-这是一段解密程序,如何做相应的加密程序?请不吝赐教

问题描述 这是一段解密程序,如何做相应的加密程序?请不吝赐教 byte[] code = StringUtil.hexDecode(FileUtil.readText("f:/src cense1.dat").replaceAll("\s+", "").trim()); JDKX509CertificateFactory certificatefactory = new JDKX509CertificateFactory(); X509Certi

SSL/TLS 加密新纪元 - Let's Encrypt

v SSL/TLS 加密新纪元 - Let's Encrypt 根据 Let's Encrypt 官方博客消息,Let's Encrypt 服务将在下周(11 月 16 日)正式对外开放. Let's Encrypt 项目是由互联网安全研究小组ISRG,Internet Security Research Group主导并开发的一个新型数字证书认证机构CA,Certificate Authority.该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的证书免费签发服务以降低安全通

毫秒级大数据算法让生物识别取代密码

十一出行哪里车最多?哪里好停车?出门没带钱包和手机,怎么消费?在生物识别大数据应用方面,这些都可以依据海量视频摘要检索技术.虹膜识别技术.行人多特征检索技术.步态轨迹识别技术等当下最火的人工智能技术一一解决.可以说,以后人们外出可以不用带手机.银行卡.只要眨眨眼,刷个虹膜,世界就会向你敞开大门. 海量视频分分钟检索出"目标" 9月19日,齐鲁软件园F1座,刚驻进半年的中科唯实(济南)科技有限公司内,几十台电脑一字排开,电脑屏幕上是高新区各个路口自动存储的视频."性别.年龄段.