《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 加密威脅檢測:創(chuàng)新流量安全解決方案

加密威脅檢測:創(chuàng)新流量安全解決方案

2021-05-21
來源:安全牛
關(guān)鍵詞: 加密威脅檢測 流量安全

  目前有超過一半的企業(yè)網(wǎng)絡(luò)流量已經(jīng)被加密了,加密流量中隱藏著大量的惡意流量。從監(jiān)測分析的數(shù)據(jù)來看,每10個惡意程序中就有超過4個會使用加密通信,而像這樣的使用加密通信的惡意程序每天新增的數(shù)量超過1000個。

  傳統(tǒng)的流量檢測方法大多都是基于規(guī)則,或者對流量中提取的文件進行審計,可面對加密流量,這些檢測方法將不再適用。不僅如此,面對變種惡意程序以及未知加密威脅則更是無能為力。像冰蝎、哥斯拉等這種WEBSHELL工具,在某些特定的場景下,還可以通過解密后再對其明文流量進行檢測,但這種方案卻無法有效應(yīng)對加密通信的反彈馬,無論是基于標準的SSL/TLS協(xié)議通信的,還是其他的加密通信類型。

  如何在不解密的情況下發(fā)現(xiàn)惡意加密流量則成為了我們必須要面對的問題。本期發(fā)布牛品推薦第七期——觀成科技:觀成瞰云-智能威脅檢測系統(tǒng)。

  牛品推薦第七期

  標簽

  加密威脅檢測、惡意加密流量檢測、未知威脅檢測及防御、高級威脅檢測及防御

  用戶痛點

  1)流量都被加密了,到底有沒有人在攻擊我?

  如基于SSL/TLS協(xié)議的掃描探測;加密類WEBSHELL工具如冰蝎、哥斯拉等;基于SSH、RDP等加密協(xié)議的暴力破解等。

  2)每天有大量的外聯(lián)加密流量,到底哪些是正常的?哪些是異常的?

  超過60%的網(wǎng)絡(luò)流量已經(jīng)加密了,既有基于標準加密協(xié)議的通信如SSL/TLS,也有基于私有加密協(xié)議的通信。在這些加密的網(wǎng)絡(luò)流量中,又隱藏著大量的惡意流量,如竊密類流量、木馬命令控制類流量等等。

  3)到底有哪些人在沒有經(jīng)過授權(quán)的情況下使用翻墻軟件或者VPN?

  當前的網(wǎng)絡(luò)環(huán)境中,存在著大量的惡意或者非法的翻墻軟件、VPN等。這類灰色應(yīng)用如果不加以識別和管控,除了有潛在的信息泄露的風(fēng)險外,還極有可能成為某些高級威脅信息傳輸?shù)耐ǖ馈?/p>

  解決方案

  加密威脅檢測是一個體系化的問題,很難用單一的模型或者單一的方法來解決,不同的威脅類型,要有不同的解決方案。加密流量的內(nèi)容雖然無法直接檢測,但是可以從很多其他角度對加密流量進行分析,這些角度包括:

  1)微觀層面:兩個通信主體間的單次加密會話特性;

  2)中觀層面:兩個通信主體間的多次加密會話特性;

  3)宏觀層面:某固定時間段、固定網(wǎng)絡(luò)中所有通信主體間的會話特性。

  通過對微觀、中觀、宏觀等特征進行提取、選擇后,結(jié)合AI多模型、行為分析以及規(guī)則檢測等,最終形成一整套針對惡意加密流量的檢測體系。

  觀成瞰云-智能威脅檢測系統(tǒng)充分利用人工智能優(yōu)勢特點,有效解決了在惡意加密流量檢測的難題,彌補了市場和技術(shù)空白,可實現(xiàn)對惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應(yīng)用進行有效檢測和防御。

  產(chǎn)品總體技術(shù)架構(gòu)如下:

 微信圖片_20210521095848.jpg

  觀成瞰云-智能威脅檢測系統(tǒng)主要技術(shù)架構(gòu)由3大模塊組成:加密通道攻擊檢測分析、使用加密通信的惡意軟件&惡意應(yīng)用檢測分析、密數(shù)據(jù)挖掘分析。

  加密通道攻擊檢測分析,主要是針對SSL、SSH、RDP等加密通道的攻擊行為檢測,檢測方法包括:行為檢測、規(guī)則檢測、流簽名檢測、指紋檢測、登錄行為檢測等。

  使用加密通信的惡意軟件&惡意應(yīng)用檢測分析,主要是針對使用加密通信的惡意軟件、惡意應(yīng)用進行檢測和識別,檢測方法包括:行為檢測、AI多模型檢測、規(guī)則檢測等。

  密數(shù)據(jù)挖掘分析,主要是針對網(wǎng)絡(luò)中所有密數(shù)據(jù)進行深度挖掘、關(guān)聯(lián)分析,包括對密數(shù)據(jù)的信息提取、特征提取、單流畫像、多流畫像,以及對SSL加密數(shù)據(jù)的基礎(chǔ)識別、應(yīng)用識別、分類識別和算法識別等。

  用戶反饋

  某監(jiān)管單位網(wǎng)絡(luò)安全專家:

  加密流量檢測目前在國內(nèi)大部分只是在科研階段,發(fā)表一些文章而已。觀成科技是屬于最早能夠落地的產(chǎn)品供應(yīng)商之一。

  某央企部門負責(zé)人:

  在與觀成科技開展合作時我們做了實際樣本測試,有3家公司參與,觀成的測試準確率誤報率優(yōu)于其他公司,所以我們選用了他們的產(chǎn)品。

  某集團安全負責(zé)人:

  觀成科技的產(chǎn)品技術(shù)思路新穎,解決了其它產(chǎn)品無法解決的問題。目前在使用過程中,也發(fā)揮了較大的應(yīng)用價值。

  推薦理由

  對于加密流量的威脅檢測,傳統(tǒng)的檢測技術(shù)很難有效,技術(shù)門檻較高,國內(nèi)在加密流量檢測領(lǐng)域的形成產(chǎn)品化落地的廠商較少,觀成科技目前申請的加密流量檢測相關(guān)的國家發(fā)明專利已超過20篇,具備一定的技術(shù)能力;觀成科技的加密流量檢測方案在軍工、網(wǎng)信、部委、央企等多個重要行業(yè)均有落地應(yīng)用,僅2020年在現(xiàn)網(wǎng)中發(fā)現(xiàn)的加密類APT攻擊事件已超過10起,實戰(zhàn)效果突出。

 



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。