基于SSL流量的指纹识别.docVIP

基于SSL流量的指纹识别 　　【 摘 要 】 近年来APT（高级持续性威胁）威胁着社会经济生活，它常利用SSL隐藏和传递机密信息，目前对异常SSL流量的检测能够有效减少APT带来的威胁。然而SSL有SSL VPN以及浏览器产生的SSL之分，因此要建立异常SSL检测模型需要先区分出不同类型SSL流量。论文正是基于此提出了SSL流量的“指纹识别”方法，这也为后续检测模型的建立和有效性提供了有力保障。 中国论文网 /8/view-7178071.htm 　　【 关键词 】 SSL；SSL VPN；指纹识别；APT 　　1 引言 　　随着信息技术的飞速发展，互联网技术的普及，一方面为人们生活带来的便利，另一方面也出现越来越多的安全问题。自2013年美国“棱镜门”事件后，关于APT（高级持续性威胁）的讨论和研究也越来受到关注。 　　APT是一种针对特定目标组织的有经济或政治目的，且持续时间较长的一种攻击，它结合了传统的网络攻击方式同时利用0day漏洞，常常使受攻击者防不胜防，直到出现真正损失才觉察到攻击的存在。目前在APT攻击中，常利用SSL隐藏或传递机密信息，同时SSL木马的频繁使用，危害也日益严重，因此如何区分出正常和异常的SSL成为了预防APT攻击的一种有效方式。现有的方法主要是针对SSL证书的可信度检测上，但是近年来伪造证书可信度越来越高，所以单从证书角度已不全面可靠，还需要从SSL流量的端口、上下报文以及连接时长等流量统计特点出发进行。由于SSL有不同类型，比如SSL VPN、浏览器的SSL，不同类型具体的检测方式也不相同，因此在此之前需要对抓取的各类SSL流量进行分类。目前对SSL流量分类的相关研究仍是空白，本文基于此提出了各种SSL流量的“指纹识别”方法。 　　文章共分为四部分，首先介绍研究内容背景和意义，然后简要说明SSL握手协议，其次对SSL流量“指纹识别”方法进行详细阐述，最后分析方法的特点及未来研究展望。 　　2 SSL握手协议 　　SSL安全套阶层协议是为主机间提供安全通道的协议，位于传输层和应用层之间，提供连接的隐秘性、用户的真实性以及数据的可靠性。SSL协议由握手层协议、记录层协议、更改密文协议和警报协议组成，如图1所示。 　　其中握手协议是SSL协议中最为重要的协议，通过握手可以提供对双方的身份验证机制。在这一过程中客户端和服务器需要确认一个用于加密明文数据所使用的密钥和算法，同时协商双方的信息摘要算法、数据压缩算法等，过程如图2所示。 　　（1）ClientHello消息。客户端会首先向服务器发送这条消息，来通知对方客户端所支持的算法，以及为了将来生成多个加密密钥所需要的客户端随机数。 　　（2）ServerHello消息。服务器会从客户端发送的加密算法中选择其中的一种。 　　（3）Server Certificate 消息。Server Certificate包含了用于身份认证的服务器标识，以及一个用于生成加密参数的随机数。 　　（4）Certificate Request 消息。可选消息，如果服务器不需要验证客户端的身份，则不会发送这条消息。 　　（5）Server Hello Done消息。这条消息表示ServerHello消息与Certificate消息一经发送完毕，服务器会等候客户端的回应。客户端一旦收到这条消息，才开始数字证书合法性的验证。 　　（6）Client Certificate 消息。可选，如果没有收到Certificate Request消息，则不需要发送数字证书。 　　3 SSL类型识别 　　SSL握手是客户端和服务器进行密钥、算法协商的步骤，不同类型的SSL有特定的密钥和算法选择方式，这些可选择的密钥和算法通过ClientHello消息进行传递，因此本文将根据SSL握手协议中客户端发送的ClientHello消息来区分不同类型的SSL流量。 　　ClientHello消息中包含了SSL/TLS版本号、Cipher Suites（加密套件）和扩展部分的签名算法等。通常对于同一个客户端发出的不同类型SSL请求，其ClientHello消息是有差别的。目前SSL流量可大致分为SSL VPN和浏览器产生的SSL，我们通过Wireshake软件进行大量抓包后分析发现，通过Cipher Suites、SessionTicket TLS、Status_request这三个字段信息可以有效区分SSL VPN和浏览器的SSL流量，甚至可区分出不同浏览器和同一浏览器在不同操作系统下的SSL流量。 　　近几年Microsoft推出使用SSL进行加密的SSTP，方便了用户在Windows上直接建立VPN，所以本文对SSL VPN的分析着重集中在SSTP VPN。同时