1、华为智简园区加密通信分析（ECA）技术白皮书 华为智简园区加密通信分析技术白皮书 摘 要 文档版本 01 (2019-03-16) 版权所有 华为技术有限公司 ii 摘摘 要要 Gartner 认为，2019 年将有一半的恶意软件活动采用某种加密技术来掩盖恶意软件传送命令和控制活动或数据泄露。ECA(Encrypted Communication Analytics)加密通信检测技术应运而生，此技术不需要解密加密流量，基于加密流量之前的握手信息，加密流量的统计信息，以及加密流量的背景流量信息，利用机器学习算法训练模型，对正常加密流量和恶意加密流量进行分类和识别。本文详细介绍 ECA 检测的基本

2、工作原理和典型应用。 华为智简园区加密通信分析技术白皮书 目 录 文档版本 01 (2019-03-16) 版权所有 华为技术有限公司 iii 目目 录录 摘摘 要要 . ii1 概述概述 . 11.1 产生背景 . 1 1.2 解决思路 . 1 1.3 客户价值 . 2 1.4 可获得性 . 2 2 实现原理实现原理 . 32.1 方案架构 . 3 2.2 方案实现 . 4 2.3 样本数据 . 4 2.3.1 白样本 . 4 2.3.2 黑样本 .5 2.4 特性分析 .5 2.4.1 加密流量异常行为关联 .5 2.4.2 上下文流量信息关联 .5 2.4.3 样本数据分析 . 6 2.

3、4.4 机器学习 . 6 2.5 数据特征 . 6 2.5.1 TLS 握手信息特征 . 7 2.5.2 TCP 统计特征 . 9 2.5.3 DNS 信息特征 . 10 2.5.4 HTTP 信息特征（可选） . 11 2.6 CIS 系统原理 . 11 2.6.1 大数据采集原理 . 12 2.6.2 大数据分析原理 . 13 3 典型场景典型场景 . 14华为智简园区加密通信分析技术白皮书 目 录 文档版本 01 (2019-03-16) 版权所有 华为技术有限公司 iv 3.1 场景描述 . 14 3.2 部署说明 . 14 3.3 典型配置 . 15 A 缩略语缩略语 . 17华为智

4、简园区加密通信分析技术白皮书 1 概述 文档版本 01 (2019-03-16) 版权所有 华为技术有限公司 1 1 1概述概述 1.1 产生背景 伴随着逐渐实现数字化转型的脚步，企业为了保护数据和应用服务的安全，开始大量采用加密技术。例如，使用 HTTPS 服务代替传统的 HTTP。Gartner 预测，到 2019 年，80 的 Web 流量将实现加密。与此同时，黑客们同样可以利用加密技术将其推送的恶意软件、欲传达的恶意命令都藏匿于加密流量当中，规避检测，确保恶意活动能够正常实施。Gartner 认为，2019 年将有一半的恶意软件活动采用某种加密技术来掩盖恶意软件传送命令和控制活动或数据

5、泄露；华为敏捷智简园区也面临同样的威胁。 当前针对加密流量进行检测的解决方案主要是利用中间人的技术对流量解密，分析其中的行为和内容，再次加密发送。但这样的解决方案存在一定局限性： 加密技术旨在解决数据的隐私性，利用中间人解密则破坏了了这个初衷，同时在通道完整性等方面也存在风险；如果加密流量持续增加，解密会消耗大量资源，同时也会造成现有网络性能的下降。 如何识别加密威胁？ 1.2 解决思路 尽管无法嗅探加密流量的内容，但通过对于加密流量的分析和研究，正常的加密流量和恶意的加密流量无论是在客户端，还是在服务端，包括数据包上的时序关系方面仍然存在着很多差别。例如，正常的加密流量通常会采用比较新和比较

6、强的加密算法和参数；而恶意的加密流量通常会采用比较老和比较弱的加密算法和参数。将诸如此类的有区分度的特征提取出来，利用机器学习算法训练模型，然后就可以用模型对正常加密流量和恶意加密流量进行分类。 ECA(Encrypted Communication Analytics)加密通信检测技术应运而生，此技术不需要解密加密流量，基于加密流量之前的握手信息，加密流量的统计信息，以及加密流量的华为智简园区加密通信分析技术白皮书 1 概述 文档版本 01 (2019-03-16) 版权所有 华为技术有限公司 2 背景流量信息，利用机器学习算法训练模型，然后就可以用模型对正常加密流量和恶意加密流量进行分类和