思科一組研究員認為,tls(傳輸層安全)隧道中的惡意流量可在不解密使用者流量的情況下,被檢測并封鎖。
企業環境下,這可謂是個大好消息,因為當今的防護都依賴于終止加密來檢查流量這種争議性的方法。
在文章中,幾位研究員解釋稱,惡意軟體會在tls流中留下可識别的痕迹。
他們的研究涵蓋了18類惡意軟體的幾千個樣本,從某企業網絡中捕獲的數百萬加密資料流中識别出了數萬惡意流量。他們指出,這種檢測可能隻企業網絡有效,而對諸如服務提供商之類的無效。
在研究人員資料集中的深度包檢測,其主要應用是嗅探出用戶端和伺服器之間的聯系消息,以及識别出tls版本,而不是使用者資料。
僅僅網絡資料本身,就足以鑒别tls流是否屬于絕大多數惡意軟體家族。甚至在不同惡意軟體家族使用同樣的tls參數的情況下,通常也能經由“基于流的特征”而被鑒别出來。
這些特征包括:流中繼資料(輸入輸出的位元組、包、網絡端口号、流持續時間);包長度和時間的序列;位元組分布;tls頭資訊。
研究囊括的惡意軟體家族有:bergat、deshacop、dridex、dynamer、kazy、parite、razy、zedbot和zusy等等。
研究人員認為,針對流分析的正确機器學習應用,讓他們在單獨加密流的惡意軟體歸屬問題上擁有了90.3%的準确率,而在5分鐘視窗時間對所有加密流的分析中達到了93.2%的準确率。
====================================分割線================================
本文轉自d1net(轉載)
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)