午夜极品欧美视频在线观看,国产区一区二区三区四区,亚洲中文字幕之字幕乱码六

??????

深圳市華赫信科技有限公司

持續(xù)技術(shù)創(chuàng)新優(yōu)質(zhì)客戶體驗

熱門文章

干貨丨一文讀懂加密流量檢測

來源: | 作者:it-101 | 發(fā)布時間: 2022-05-31 | 1038 次瀏覽 | 分享到:

互聯(lián)網(wǎng)技術(shù)快速發(fā)展，使得互聯(lián)的規(guī)模與流量越來越大。在網(wǎng)絡(luò)通信中，加密流量已經(jīng)成為通信的主流。雖然加密流量保護了用戶的隱私，但也為安全檢測帶來了新的挑戰(zhàn)。

縱觀近年網(wǎng)絡(luò)攻擊事件，以高級持續(xù)威脅攻擊和定向滲透攻擊為代表的高級網(wǎng)絡(luò)攻擊盛行，而這些攻擊組織，為了更隱蔽的獲取用戶數(shù)據(jù)，控制目標系統(tǒng)，往往采用隱蔽的、加密的通信方式。通常情況下，這些隱蔽的通信傳輸會隱藏到常見的網(wǎng)絡(luò)協(xié)議中，或使用加密通信，混雜在正常業(yè)務(wù)數(shù)據(jù)中，具有特征不確定，途徑多樣化，低流量，低頻率等特點，以達到長期控制，竊取數(shù)據(jù)的目的。

當前網(wǎng)絡(luò)加密技術(shù)與網(wǎng)絡(luò)隱蔽技術(shù)已經(jīng)成為高級網(wǎng)絡(luò)攻擊中最基本的傳輸方式，科來從協(xié)議分析的角度對加密流量檢測進行剖析。

在談加密流量檢測之前，我們要先了解一下檢測的前置條件。

首先，我們要有高速流量采集，識別，解碼的能力，科來支持40Gps以上的超大流量實時處理能力。隨著近年來國際關(guān)系日益緊張，攻防對抗愈演愈烈。網(wǎng)絡(luò)空間已經(jīng)是海陸空天之外的第五大戰(zhàn)場。能否在當前大流量，大吞吐的情況下，穩(wěn)定采集，準確識別，完整解碼，直接關(guān)系到我們在攻防對抗過程中，是否能夠?qū)ν{進行識別，建模分析的關(guān)鍵保證。

其次，在協(xié)議解析的基礎(chǔ)上能夠提取足夠的元數(shù)據(jù)，供復(fù)雜的安全場景進行行為建模，科來支持1000+字段的對外輸出，滿足用戶對元數(shù)據(jù)日志和對字段數(shù)量的多元性要求。支持用戶根據(jù)不同的需求和應(yīng)用場景定制化輸出數(shù)據(jù)。如：支持用戶對數(shù)據(jù)根據(jù)四元組、警報級別、警報類型、XFF、URI等維度進行數(shù)據(jù)過濾，指定需要輸出的數(shù)據(jù)；支持用戶通過控制輸出頻率來對輸出性能進行控制；支持用戶自定義輸出數(shù)據(jù)編碼格式、是否加密等。滿足了多種場景下用戶的不同輸出需求。

最后，重點來了，我們來聊聊如何進行加密流量檢測，加密流量檢測方法可以從以下幾個角度進行入手，特征識別、行為分析、隱蔽信道、機器學習。

特征識別：

互聯(lián)網(wǎng)通訊協(xié)議眾多，不同的應(yīng)用通常會采用不同的協(xié)議，而各種協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的比特序列。基于特征的識別技術(shù)，正是通過識別數(shù)據(jù)報文中的指紋信息來確定業(yè)務(wù)所承載的應(yīng)用以及該應(yīng)用是否存在異常。如通過特征指紋識別常見的的黑客工具，如菜刀、蟻劍、冰蝎、Godzilla等webshell工具的通訊；Regeorg、Tunna、Frp、EarthWorm等網(wǎng)絡(luò)穿透工具的通訊；CobaltStrike、MSF等滲透工具的通訊。

在加密流量檢測上可以通過對加密握手過程中產(chǎn)生的JA3指紋，SNI信息，證書頒發(fā)者等信息，做特征匹配，精準識別到APT組織中使用的特種木馬或基于框架生成的商業(yè)木馬，發(fā)現(xiàn)內(nèi)網(wǎng)失陷資產(chǎn)。

行為分析：

目前在應(yīng)對如國家級APT攻擊識別和分析中，異常通訊行為識別是最主要行之有效的方法。精準的異常行為模型建立需要兩個重要因素：完整詳盡的流量信息提取和靈活的行為描述邏輯。行為模式的識別需要對流量中的關(guān)鍵信息進行預(yù)先處理，而且提取的相關(guān)參數(shù)越詳細，越有助于行為模型的建立，此外豐富的流量解析數(shù)據(jù)也為機器學習算法提供多維度的計算參數(shù)。

行為模式識別技術(shù)能夠智能分析數(shù)據(jù)流的通訊行為特征并建立行為識別模型。行為特征能夠針對源地址、目的地址、源端口、目地端口、發(fā)送時間、接收時間、發(fā)送時間頻率（時間差）等信息進行綜合分析，建立綜合的識別模型，以作為對異常網(wǎng)絡(luò)通訊的判斷依據(jù)。

常見的加密流量相關(guān)的異常行為如下：

模擬SSL通訊，但實際是自加密通訊流量，在境外APT攻擊中多有出現(xiàn)，使用常見互聯(lián)網(wǎng)應(yīng)用過期證書，模擬SSL交互頭部，但實際流量并未采用SSL封裝。

使用自簽證書或非權(quán)威機構(gòu)頒發(fā)證書加密通訊，且在同一業(yè)務(wù)中使用的證書不一致。采用加密流量通訊、非內(nèi)部或常見應(yīng)用證書，且流量發(fā)送遠大于接收，持續(xù)時間較長的通訊，另外結(jié)合空間測繪數(shù)據(jù)和內(nèi)部資產(chǎn)數(shù)據(jù)對通訊雙方進行定位研判，對異常行為賦值打分，找出存在多種異常的會話。

隱蔽信道：

隱蔽信道可以分為使用未知協(xié)議與利用已知協(xié)議兩種。

使用未知協(xié)議的隱蔽信道檢測通過對網(wǎng)絡(luò)層、應(yīng)用層協(xié)議的匹配分析，對常見端口下的數(shù)據(jù)傳輸進行協(xié)議位特征的匹配，選擇多種特征位進行數(shù)據(jù)匹配，當所有匹配特征都無法匹配該端口下的通訊數(shù)據(jù)，則認為通訊不是該端口該運行的協(xié)議，即為網(wǎng)絡(luò)隱蔽信道通信。

對于利用已知協(xié)議正常業(yè)務(wù)字段的進行隱蔽通信部分，可以首先按照協(xié)議對流量進行分類解析，然后針對與每種協(xié)議進行字段劃分，特征提取，統(tǒng)計建模，比如DNS隧道，APT組織經(jīng)常使用DNS隧道來對木馬進行指令下發(fā)數(shù)據(jù)傳輸?shù)瓤刂疲┦W(wǎng)絡(luò)使用DGA上線等。

機器學習：

使用隨機森林、LSTM、隱式馬爾科夫等算法，分別對加密協(xié)議中傳輸?shù)募用茉剂髁颗c元數(shù)據(jù)字段（JA3指紋、證書鏈、證書鏈個數(shù)、加密套件個數(shù)、擴展長度、協(xié)議版本、證書組織、證書頒發(fā)者等）建立黑白模型，使用黑白模型分別判定黑白，然后對結(jié)果集進行交叉比對。結(jié)合行為模式與隱蔽信道的檢測結(jié)果進行惡意行為判斷。

目前科來產(chǎn)品已內(nèi)置一系列加密流量檢測規(guī)則和模型，可對常見黑客工具通訊、隱蔽隧道通訊、可疑或非法加密通訊行為進行實時檢測和歷史回溯，可以快速、高效、準確發(fā)現(xiàn)加密流量中的惡意訪問，保護用戶網(wǎng)絡(luò)及數(shù)據(jù)的安全，在通信加密盛行的今天，為提高用戶的網(wǎng)絡(luò)安全提供了有效的防護手段。

- End -

上一篇： 35類主流商用密碼產(chǎn)......

下一篇： 2022數(shù)博會云端開......

欧美女同性恋综合一区二区,国产日韩久久久久精品一区二区,亚洲欧美精品成人在线,一区二区三区四区人妻在线