2019年加密流量安全检测的探索与实践.pdf

1、加密流量安全检测的探索与实践针对加密流量的安全检测和防御，势在必行Gartner：2019 年，超过 80%的企业网络流量将被加密；加密的流量中将隐藏超过 50%的网络恶意软件。恶意明文流量占比恶意加密流量占比2019时间时间 共监测到加密通信样本家族数量200种 加密通信样本所占比例40%每日新增加密通信恶意样本数量1000个加密威胁覆盖类型众多几乎涵盖所有类型端口不固定加密协议分布广泛特洛伊木马33%勒索软件1%感染式7%蠕虫病毒3%下载器43%其他13%加密通信恶意软件分类加密通信恶意软件分类特洛伊木马勒索软件感染式蠕虫病毒下载器其他通信要素多样性86.06%5.48%3.71%1.96

2、%0.59%0.22%0.18%0.17%0.11%0.11%0.10%1.33%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%44344990014654474443910151234844390024143其他端口分布端口分布通信方式多样性常见恶意软件使用加密通信方式汇总通信场景多样性宏观维度微观维度最细粒度的特征工程1000余种特征，生成370类可视化特征对比图Server nameServer name主拓展秘钥主拓展秘钥Session TicketSession TicketStatus Reque

3、stStatus Request应用协议拓展应用协议拓展其它其它神经网络模型预测“证书正常度”神经网络模型预测“证书正常度”结果结果AI AI检测模型技术路线加密威胁检测综合决策体系背景流量威胁情报AI多模型检测客户端指纹服务端指纹解密规则检测行为画像规则检测结果行为画像分析结果背景流量分析结果威胁情报检测结果AI多模型检测结果客户端指纹结果服务端指纹结果解密检测结果加密流量恶意软件特征应用特征其它特征攻击工具特征斜率速率相似度分布DNSHTTP其它IP域名证书指纹模型1模型2模型3模型N特征工程1检测算法1特征工程2检测算法2特征工程3检测算法3特征工程N检测算法N版本加密套件扩展信息Ses

4、sionID串接代理旁路解密恶意代码解密RSADH加密威胁1 1压缩方式版本加密套件扩展信息SessionID压缩方式观千剑，而后识器过度依赖算法误报率、可解释性专家、场景化未来可期AI带来新思路效果甚微数据集、特征集、标签距落地应用有差距多维度、多模型从切片到时序总结12加密威胁检测具备落地应用的条件3短期定位：人机结合的检测分析机制4加密威胁检测需要体系化的解决方案加密威胁递增的趋势不可阻挡路虽远，行则将至加密威胁检测是一条艰难又漫长的道路，而我们会一直坚定地走下去！加密威胁检测是一条艰难又漫长的道路，而我们会一直坚定地走下去！SSHIPSecRDPSSLPGPL2TPPPTP摸索研究应用落地深化扩展THANKS