张志鹏-加密流量恶意软件分析在金融场景的实践.pdf

加密流量恶意软件分析在金融场景的实践 张志鹏 斗象科技 高级安全顾问 目录 安全概述 加密流量的异常检测 多模型融合的恶意软件分析 PRS-NTA 斗象&F5联合解决方案 概述-加密通信 --加密通信的作用-- • 加密隐私数据 防止您访客的隐私信息(账号、地址、手机号等)被劫持或窃 取。 • 提高页面加载速度 提高用户体验,防止客户流失。 • 安全身份认证验证网站的真实性,防止钓鱼网站。 • 防止网页篡改 防止数据在传输过程中被篡改,保护用户体验。 • 提升信任度 地址栏头部的 “锁”型图标使您的访客放心浏览网页,提高用 户信任度。 概述-双刃剑 数据块 数据块 恶意软件 数据块 HTTPS隧道 攻击者 感染主机 分析员 概述-恶意软件 • Malware这个单词来 自于Malicious和Software两个单词的合成 ，是恶意软件的专业术语。 • 是植入你电脑中的恶意代码 ，它可以完全控制、破坏你的PC、网络以及所有数据。 --来自百度百科 Malware包含了以下几个种类 ： 目前使用加密通信的恶意软件家族超过200种 ，使用加密通信的恶意软件 占比超过40% ，使 * Computer Viruses　 >>>计算机病毒 用加密通信的恶意软件几乎覆盖了所有常见类型 ，如 ：特洛伊木马、勒索软件、感染式、蠕虫 病毒、下载器等 ，其中特洛伊木马和下载器类的恶意软件家族 占比较高。 * Computer Worms　 >>>计算机蠕虫 * Troj an Horses >>>特洛伊木马 * Logic Bombs >>>逻辑炸弹 * Spyware >>>间谍软件 * Adware >>>广告软件 * Spam >>>垃圾邮件 * Popups >>>弹出 概述-恶意软件 恶意软件产生的加密流量 ，根据用途可以分为以下六类 ：C&C直连、检测主机联网环境、母体正常通信、白站隐 蔽中转、蠕虫传播通信、其它。 C&C直连 恶意软件类型 产生加密流量类型 恶意软件在受害主机执行后 ，通过TLS等加密协议连接C&C （攻击者控 制端 ），这是最常见的直连通讯方式。 C&C直连、白站隐蔽中转、检测主机联网环境、 特洛伊木马 其他