发现藏匿在加密流量中的威胁.PDFVIP

综述文章 发现藏匿在加密流量中的威胁 用于保护在线数据的加密技术给恶意软件提供了藏身之地。如何检测出加密流量中的威胁一直是行业 面临的一个难题……现在，这一难题终于被攻克了。 2017 年6 月20 日 作者：Jason Deign@DeigninSpain 加密是保护隐私的一个重要手段，能够保护我们的数据不被窥探，能够阻止犯罪分子窃取我们的信用 卡信息、应用的使用习惯或密码。 加密的重要性不言而喻，据最新报告显示，截止今年 2 月，半数的在线流量均被加密。对于特定类型 的流量，加密甚至已成为法律的强制性要求。 Gartner 认为，到2019 年，超过80%的企业网络流量将被加密。虽然这对于重视隐私的用户来说是一 个福音，但 IT 团队将面临着严峻挑战。面对大量涌入的流量，如果没有解密技术，IT 团队将无法查看 流量内包含的信息。 这意味着加密是一把双刃剑，保护隐私的同时也让不法分子有了可乘之机。加密能够像隐藏其他信息 一样隐藏恶意软件，从而带来一系列蠕虫 （以及木马和病毒）。 思科首席工程师TK Keanini 表示：“据Gartner 预测，到2019 年，半数的恶意软件活动将利用某种类 型的加密来隐藏交付、命令、控制活动以及数据泄露。”思科今日宣布推出的一款新产品正好可以用来 应对这一威胁。 恶意软件制造者对于加密非常了解，并且懂得如何利用这一技术。Gartner 认为：“随着 HTTPS 的使 用量超过HTTP，通过加密网络通道传递的恶意软件将变得越来越多。” 《赛马邮报》的安全经理Alan Cain 评论道：“Facebook、Twitter 和 LinkedIn 等网站都在使用SSL， 这些网站在过去都曾遭受过‘绑架赞 （Likejacking）’、恶意软件传播、数据泄露和垃圾邮件等威胁的侵 害。80%的安全系统不能识别或防范SSL 流量中的威胁，这使得加密的恶意软件成为当前业界最大的 威胁。” 因此，Gartner 认为，到 2020 年，超过 60%的企业将无法有效解密 HTTPS 流量，从而“无法有效检 测出具有针对性的网络恶意软件。” Gartner 认为，届时加密的流量中将隐藏超过 70%的网络恶意软件，而对抗这些威胁的手段将会受制 于反解密系统，即便是最大的IT 团队也无法忽视这一问题。 直到现在，处理此问题的常见方法是解密流量，并使用诸如新一代防火墙等设备查看流量。这种方法 耗时较长，且需要在网络中添加额外的设备。随着威胁环境不断变化，将安全功能集成到网络中将有 助于检测所有威胁，甚至是藏匿在加密流量中的威胁。 那么我们应该如何抵御看不见的威胁呢？思科的专家找到了相关线索。 使用加密流量分析进行威胁检测 尽管您无法查看加密流量，但思科技术负责人 Blake Anderson 和思科高级安全研究事业部院士 （Fellow）David McGrew 发现了一种特殊的方法，可以获知内部隐藏内容的线索。 Anderson 和 McGrew 在去年十月发表的一篇名为 《利用环境流量数据识别加密恶意软件流量》的文 章中写道：“识别加密网络流量中的威胁，为我们带来了一系列网络安全挑战。”监控这一流量对于发 现威胁和识别恶意软件来说非常重要，他们表示：“我们需要一种能够保持加密完整性的方式，来帮助 我们实现这一目标。” 他们开发了监督机器学习模型，能够充分利用网络流数据独特且多样化的特 性。他们介绍道：“这些数据特性包括TLS 握手元数据、链接到加密流的 DNS 环境流，以及五分钟内 来自同一源IP 地址的HTTP-环境流的HTTP 标头。” 研究人员研究了数百万不同流量上恶意流量和良性流量在使用TLS、DNS 和HTTP 方面的差异，提炼 出了恶意软件最明显的一系列特性。 这一过程经过了真实数据的测试，以确保不会产生误报。最终思科推出了加密流量分析 （ETA ）技 术，能够在加密数据的三个特征中寻找恶意软件的痕迹。 首先是联接的初始数据包。这一数据包可能包含有关其余内容的宝贵数据。然后是数据包长度和时间 的顺序，可以针对自加密流量开始传输以后的流量内容提供重要线索。 最后，加密流量分析能够检查被分析的数据流中数据包的有效载荷上的字节分布。由于这一基于网络 的检测流程由机器学习技术支持，其功效会随着时间的推移而持续上升。 近日，思科推出了加密流量分析功能 （Encrypted Traffic Analytics ），并且将来自全新 Catalyst® 9000 交换机和Cisco 4000 系列集成多业务路由器的增强型NetFl