加密流量检测技术创新与运营实践
威胁趋势
近年来,网络对抗日益突出,加密流量成为主流威胁。据统计,2020年全球网络攻击中有70%采用了加密技术,2021年60%的恶意软件已采用加密通信。顶级APT组织攻击产生的加密流量占比基本为100%,APT加密通信已成为主流威胁。
技术创新
加密流量检测的技术路线之争主要集中在是否需要解密。过去,通常采用“中间人”方式先解密再检测,而现在则更多采用含AI在内的综合决策技术,在不解密的前提下检测。这种方法能够识别利用加密通信的恶意软件,识别非法的加密应用,以及识别变种/未知/高级加密威胁,并检测加密通信中的攻击行为。AI技术在加密流量检测中的应用可提高检测性能,但其可解释性较差,且部分加密威胁检测无法应用。
公司创新技术包括:
- 基于密码统计的非标准加密协议识别技术:通过密码的随机性统计技术,准确识别非标准的加密协议。
- 基于人工智能的加密威胁综合决策技术:融合传统机器学习、深度学习等技术,从单流、多流和宏观通联等多个维度对加密流量中的威胁进行综合检测与分析。
- 基于可计算检测引擎的加密数据识别技术:利用支持自定义配置参数的可计算引擎,实现对特定标准协议或自定义协议加密载荷的精确研判与筛选。
- 基于自适应的加密业务基线构建技术:从不断变化的数字环境中学习每个用户、设备及其复杂关系,形成定制和多维的理解。
运营实践
运营实践主要包括以下几个方面:
- 拒绝概率:威胁标签+原创鱼骨图是加密威胁运营实践的重大进步。
- 研判闭环:分析工具集是加密威胁运营实践的关键环节,包括威胁详细信息表、原始流量分析、事件会话关联分析、攻击者/受害者通联关系分析、溯源分析和上报。
- 运营进阶:构建加密业务基线,及时发现可疑加密流量。加密业务基线构建维度包括加密协议识别、加密应用识别、加密资产识别、流量特征提取、加密业务异常性检测等。
实战案例
2022年HW加密威胁总结显示,今年HW中受控后95%以上都是加密通信方式,90%以上的检出都是独家首发。今年HW中发现的加密威胁(如TLS木马、DNS隧道、ICMP隧道等)几乎都是独家首发,表明观成科技的产品检测能力在HW中得到了充分发挥。此外,今年HW中多采用社交网络钓鱼、0 Day、迂回分支机构等攻击手段突破,被攻破的可能性变大,且大多数攻击手段都采用了加密通信方式。
北京观成科技有限公司致力于加密网络空间安全领域,通过技术创新和运营实践,不断提升加密流量检测的能力。
