由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）主辦的“2021年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽”總決賽在國家網(wǎng)絡(luò)安全宣傳周期間舉辦，觀成科技憑借創(chuàng)新產(chǎn)品“觀成瞰云-加密威脅智能檢測系統(tǒng)（ENS）”榮獲一等獎。產(chǎn)品的技術(shù)創(chuàng)新性、領(lǐng)先性和實用性吸引了在座的專家評委及現(xiàn)場觀眾，其獨創(chuàng)的“魚骨圖”加密流量檢測設(shè)計更是點睛之筆。我們通過“魚骨圖”一起來探索觀成瞰云-加密威脅智能檢測系統(tǒng)（ENS）的獨特之處。

　　觀成瞰云-加密威脅智能檢測系統(tǒng)（ENS）綜合運(yùn)用人工智能和行為檢測、規(guī)則檢測、指紋檢測等安全檢測技術(shù)，解決了惡意加密流量檢測難題。但在早期產(chǎn)品應(yīng)用過程中，因系統(tǒng)綜合決策體系復(fù)雜、涉及因素繁多，也給檢測結(jié)果的可解釋性造成了一定挑戰(zhàn)。如何將復(fù)雜的決策過程形象的進(jìn)行體現(xiàn)，讓用戶能一眼看明白加密流量檢測的因素、結(jié)果？觀成科技經(jīng)過不斷的探索，最終形成了加密流量檢測“魚骨圖”來解決上面的問題。

　　l“魚骨圖”介紹

　　“魚骨圖”用于呈現(xiàn)加密流量的報警情況，分為魚尾、魚刺及魚頭三部分。其中魚尾部分用于呈現(xiàn)加密握手協(xié)商模型的檢測結(jié)果；魚刺部分用于呈現(xiàn)通信實體間（IP對）單次會話和多次會話的行為特征；魚頭由三部分組成，分別呈現(xiàn)背景流量、證書以及關(guān)聯(lián)DNS等3個模型的檢測結(jié)果。“魚骨圖”不同部分分別對應(yīng)產(chǎn)品的各種檢測模型、檢測方法。每種檢測模型的檢測結(jié)果為0-1之間的預(yù)測值，數(shù)字越大表示異常等級越高。在“魚骨圖”中用不同的顏色表示異常的等級，分別是綠色（正常 得分小于0.5）、黃色（可疑 得分在0.5-0.7之間）、橙色（異常 得分在0.7-0.9之間）、紅色（嚴(yán)重 得分大于0.9）。

　　除“魚骨圖”的圖形本身之外，在魚骨圖上方的醒目位置，觀成瞰云（ENS）將系統(tǒng)綜合決策評分和威脅標(biāo)簽進(jìn)行呈現(xiàn)，讓用戶對檢測結(jié)果和威脅類型一目了然。在“魚骨圖”的左右兩側(cè)和下方，分別對加密握手協(xié)商、加密協(xié)議證書、單流和多流行為參數(shù)、DNS/HTTP等背景流量的關(guān)鍵參數(shù)進(jìn)行展示，豐富的信息量有助于客戶直接深入了解加密流量性質(zhì)、類型。

　　l“魚骨圖”檢測舉例

　　觀成瞰云（ENS）對不同的加密流量進(jìn)行檢測，在魚骨圖中會呈現(xiàn)不同的效果。我們簡單列舉以下幾種類型：

　　1

　　正常加密流量檢測結(jié)果

　　使用熱門瀏覽器訪問正常HTTPS網(wǎng)站流量的檢測結(jié)果如上圖所示。從圖中分析，客戶端、服務(wù)端、DNS、證書的檢測評分都比較低，魚頭和魚尾均顯示綠色。單流和多流行為檢測呈現(xiàn)一定的隨機(jī)性，因此得分也比較低。最終系統(tǒng)決策結(jié)果評分0.31，威脅標(biāo)簽為空。

　　2

　　APT流量檢測結(jié)果：響尾蛇

　　上圖是“響尾蛇”APT組織加密檢測結(jié)果。從圖中可以看到，與正常加密流量相比，無論是客戶端、服務(wù)端、證書還是DNS，觀成瞰云（ENS）的各種模型得分均有顯著提高，體現(xiàn)模型輸出的魚尾、魚頭部分也變成了橙色、紅色。從魚刺方面看，能看到典型的上下行載荷、包數(shù)相同的情況，這與正常上網(wǎng)瀏覽的行為存在顯著不同，因此流量特征報警也給出了0.92的分?jǐn)?shù)。經(jīng)系統(tǒng)綜合決策，最終評分為0.77，通過規(guī)則、行為的匹配分析，系統(tǒng)發(fā)現(xiàn)該流量為響尾蛇APT組織流量，并打上了相應(yīng)的威脅標(biāo)簽。

　　3

　　APT流量檢測結(jié)果：海蓮花

　　除TLS加密流量外，觀成瞰云（ENS）也支持對利用DNS等協(xié)議進(jìn)行隱蔽隧道傳輸?shù)膼阂饬髁俊Ｉ蠄D是APT組織“海蓮花”使用的木馬家族“Denis”隧道流量檢測結(jié)果。該木馬利用DNS的A記錄、NS記錄進(jìn)行心跳和信息回傳，從“魚骨圖”中可清晰看出隱蔽隧道中的心跳行為。系統(tǒng)綜合決策得分為0.97，威脅標(biāo)簽為Denis。

　　4

　　黑客工具檢測結(jié)果：Cobalt Strike

　　Cobalt Strike是近年紅隊常用的滲透平臺。上圖是系統(tǒng)針對Cobalt Strike產(chǎn)生的TLS命令控制流量的檢測結(jié)果。從圖中分析，系統(tǒng)對該流量的握手協(xié)商、證書和單流、多流行為均進(jìn)行了告警，綜合評分為0.93，威脅標(biāo)簽為Cobalt Strike。

　　5

　　傳統(tǒng)木馬檢測結(jié)果：Upatre

　　Upatre家族為第一階段的木馬家族，主要是下載木馬進(jìn)行第二階段的攻擊。一般下載者流量在“魚骨圖”整體上載荷不會太大，且下行流量大于上行。在圖中可以看到，系統(tǒng)對Upatre的加密握手協(xié)商、證書的流行為進(jìn)行了告警，綜合得分為0.98，威脅標(biāo)簽為Upatre。

　　6

　　隱蔽隧道檢測結(jié)果：DNS隧道

　　DNS隱蔽隧道黑客入侵、命令回傳常用的方式之一。上圖是利用Cobalt Strike搭建DNS隧道通信流量的檢測結(jié)果。從上圖分析，該流量利用DNS的A記錄傳輸信息，在短時間內(nèi)進(jìn)行了大量DNS請求/響應(yīng)交互，這一點在魚刺部分的體現(xiàn)非常直觀。最終系統(tǒng)綜合AI、規(guī)則和行為檢測結(jié)果，判定為Cobalt Strike產(chǎn)生的DNS隧道流量。

　　l“魚骨圖”的“大道至簡”

　　觀成瞰云（ENS）綜合使用了人工智能多模型檢測，輔之以規(guī)則檢測、行為檢測、指紋檢測等傳統(tǒng)檢測方法，實現(xiàn)對惡意加密流量檢測。雖然加密流量檢測體系復(fù)雜、因素繁多，但是并沒有影響觀成瞰云（ENS）產(chǎn)品向用戶闡述決策過程。我們相信智慧是認(rèn)識事物本實這一道理，引導(dǎo)我們透過現(xiàn)象觀察到事物本身的目的和內(nèi)在的聯(lián)系，堅持“用最簡單的呈現(xiàn)解釋最復(fù)雜的檢測”的“大道至簡”設(shè)計原則，用一張“魚骨圖”融合多個引擎檢測、規(guī)則檢測、行為檢測結(jié)果，結(jié)合豐富的信息呈現(xiàn)，完美解決了加密流量檢測結(jié)果可解釋性的問題。

　　l觀成瞰云（ENS）簡介

　　觀成瞰云-加密威脅智能檢測系統(tǒng)（ENS）是觀成科技將人工智能與安全檢測技術(shù)相結(jié)合的創(chuàng)新型安全產(chǎn)品，可針對惡意軟件、黑客工具、非法應(yīng)用等加密威脅進(jìn)行有效檢測。該產(chǎn)品為觀成科技自主研發(fā)、具有完整的知識產(chǎn)權(quán)，解決了惡意加密流量檢測難題，填補(bǔ)了市場和技術(shù)空白。

　　除了獨創(chuàng)的“魚骨圖”加密流量檢測吸引了大家的眼球，觀成瞰云（ENS）的其他創(chuàng)新點也不容忽視：

　　1.細(xì)粒度加密流量特征工程構(gòu)建技術(shù)；

　　2. 惡意加密多流行為特征挖掘分析技術(shù)；

　　3.面向攻防演練常見下的黑客工具加密流量識別技術(shù)；

　　4.面向加密類高級威脅檢測分析技術(shù)。

　　與此同時，觀成瞰云（ENS）還具有使用加密通信的惡意軟件檢測、使用加密通信的黑客工具檢測、使用加密通信的非法應(yīng)用檢測、未知和新型加密威脅檢測等功能。