加密流量分析

1.背景

现在很多高级的攻击的目的都是为了获取数据,部分是为了损人不利己的破坏。对于前者,主要是把获取的机密信息加密绕过DLP系统传输到外面,这也是很多安全事件的源头。不解密,技术人员无法检测此类恶意软件,这就意味着他们面临在安全和隐私之间需要做出权衡。

2.简述

  用于保护在线数据的加密技术给恶意软件提供了藏身之地。如何检测出加密流量中的威胁一直是行业面临的一个难题……现在,这一难题终于被攻克了。

2017年6月20日

作者:Jason Deign@DeigninSpain

加密是保护隐私的一个重要手段,能够保护我们的数据不被窥探,能够阻止犯罪分子窃取我们的信用卡信息、应用的使用习惯或密码。

加密的重要性不言而喻,据最新报告显示,截止今年2月,半数的在线流量均被加密。对于特定类型的流量,加密甚至已成为法律的强制性要求。

Gartner认为,到2019年,超过80%的企业网络流量将被加密。虽然这对于重视隐私的用户来说是一个福音,但IT团队将面临着严峻挑战。面对大量涌入的流量,如果没有解密技术,IT团队将无法查看流量内包含的信息。

这意味着加密是一把双刃剑,保护隐私的同时也让不法分子有了可乘之机。加密能够像隐藏其他信息一样隐藏恶意软件,从而带来一系列蠕虫(以及木马和病毒)。

思科首席工程师TK Keanini表示:“据Gartner预测,到2019年,半数的恶意软件活动将利用某种类型的加密来隐藏交付、命令、控制活动以及数据泄露。”思科今日宣布推出的一款新产品正好可以用来应对这一威胁。

恶意软件制造者对于加密非常了解,并且懂得如何利用这一技术。Gartner认为:“随着HTTPS的使用量超过HTTP,通过加密网络通道传递的恶意软件将变得越来越多。”

《赛马邮报》的安全经理Alan Cain评论道:“Facebook、Twitter和LinkedIn等网站都在使用SSL,这些网站在过去都曾遭受过‘绑架劫持(Likejacking)’、恶意软件传播、数据泄露和垃圾邮件等威胁的侵害。80%的安全系统不能识别或防范SSL流量中的威胁,这使得加密的恶意软件成为当前业界最大的威胁。”

因此,Gartner认为,到2020年,超过60%的企业将无法有效解密HTTPS流量,从而“无法有效检测出具有针对性的网络恶意软件。”

Gartner认为,届时加密的流量中将隐藏超过70%的网络恶意软件,而对抗这些威胁的手段将会受制于反解密系统,即便是最大的IT团队也无法忽视这一问题。

直到现在,处理此问题的常见方法是解密流量,并使用诸如新一代防火墙等设备查看流量。这种方法耗时较长,且需要在网络中添加额外的设备。随着威胁环境不断变化,将安全功能集成到网络中将有助于检测所有威胁,甚至是藏匿在加密流量中的威胁。

那么我们应该如何抵御看不见的威胁呢?思科的专家找到了相关线索。

使用加密流量分析进行威胁检测

尽管您无法查看加密流量,但思科技术负责人Blake Anderson和思科高级安全研究事业部院士(Fellow)David McGrew发现了一种特殊的方法,可以获知内部隐藏内容的线索。

Anderson和McGrew在去年十月发表的一篇名为《利用环境流量数据识别加密恶意软件流量》的文章中写道:“识别加密网络流量中的威胁,为我们带来了一系列网络安全挑战。”监控这一流量对于发现威胁和识别恶意软件来说非常重要,他们表示:“我们需要一种能够保持加密完整性的方式,来帮助我们实现这一目标。” 他们开发了监督机器学习模型,能够充分利用网络流数据独特且多样化的特性。他们介绍道:“这些数据特性包括TLS握手元数据、链接到加密流的DNS环境流,以及五分钟内来自同一源IP地址的HTTP-环境流的HTTP标头。”

研究人员研究了数百万不同流量上恶意流量和良性流量在使用TLS、DNS和HTTP方面的差异,提炼出了恶意软件最明显的一系列特性。

这一过程经过了真实数据的测试,以确保不会产生误报。最终思科推出了加密流量分析(ETA)技术,能够在加密数据的三个特征中寻找恶意软件的痕迹。

首先是联接的初始数据包。这一数据包可能包含有关其余内容的宝贵数据。然后是数据包长度和时间的顺序,可以针对自加密流量开始传输以后的流量内容提供重要线索。

最后,加密流量分析能够检查被分析的数据流中数据包的有效载荷上的字节分布。由于这一基于网络的检测流程由机器学习技术支持,其功效会随着时间的推移而持续上升。

近日,思科推出了加密流量分析功能(Encrypted Traffic Analytics),并且将来自全新Catalyst® 9000交换机和Cisco 4000系列集成多业务路由器的增强型NetFlow,与思科Stealthwatch的高级安全分析能力进行组合。

思科企业网络、物联网和开发商平台市场营销副总裁Prashanth Shenoy表示:“思科凭借一流的安全产品组合,持续为其网络设备构建安全特性。思科推出的全面威胁防御架构可将网络作为传感器和执行平台,来查看并处理所有威胁。”简而言之,全球所有通过思科设备的流量现在都将向庞大的威胁检测系统提供情报,使该系统能随时随地检测并阻止威胁。Shenoy表示:“就如同我们看到有人在争执的时候,我们可能无法听到他们在说什么,但仍可以从他们的手势和表情中得知发生了什么。思科拥有显著的优势,为现有的和未来的客户提供加密流量分析。只有采用我们最新芯片组的全新硬件才能够高速实时地进行分析,同时不会导致流量传输速度减缓。”

同时,思科的产品安装量遥遥领先于全球其他网络厂商,这意味着思科威胁防御系统的学习速度也远远超过其他厂商的产品。

采用Stealthwatch的思科网络不仅可以检测加密流量中的恶意软件,还可提升加密合规性,包括揭示TLS策略违规、发现加密套件漏洞以及持续监控网络的不透明性等。

这意味着网络将能够检测威胁,从而一举解决了网络加密流量所面临的主要挑战。Keanini表示:“借助我们的创新成果,企业将能更好地使用网络来打造极具竞争力的安全应用。通过使用机器学习技术来分析元数据流量模式,思科甚至能够在加密流量中发现已知威胁,并有效规避风险,而无需解密流量,这一技术手段是前所未有的。正是因为如此,思科新一代网络将成为唯一一个既能为企业带来强大安全性又能可靠保护隐私的系统。”

3 评

3.1 截止今年2月,半数的在线流量均被加密。对于特定类型的流量,加密甚至已成为法律的强制性要求. 传输数据加密已成趋势,以后内网、IoT设备、工控数据为了安全也可能进行加密传输。

3.2 据Gartner预测,到2019年,半数的恶意软件活动将利用某种类型的加密来隐藏交付、命令、控制活动以及数据泄露。恶意流量也使用https进行传输。

3.3识别加密网络流量中的威胁,为我们带来了一系列网络安全挑战。通过机器学习识别恶意程序的加密流量是挑战也是机遇。

4.参考

1.思科博客

原文地址:https://www.cnblogs.com/Rightsec/p/10226526.html

时间: 2024-10-09 14:16:20

加密流量分析的相关文章

大数据实战:用户流量分析系统

本文是结合hadoop中的mapreduce来对用户数据进行分析,统计用户的手机号码.上行流量.下行流量.总流量的信息,同时可以按照总流量大小对用户进行分组排序等.是一个非常简洁易用的hadoop项目,主要用户进一步加强对MapReduce的理解及实际应用.文末提供源数据采集文件和系统源码. 本案例非常适合hadoop初级人员学习以及想入门大数据.云计算.数据分析等领域的朋友进行学习. 一.待分析的数据源 以下是一个待分析的文本文件,里面有非常多的用户浏览信息,保扩用户手机号码,上网时间,机器序

网站实战分析之流量分析

本篇是“流量分析”的个人读书笔记,推荐书<网站实战分析>,作者是王彦平,写的实在,通篇干货,没有废话. 网站流量来源渠道有:直接访问,推荐流量,搜索引擎流量. 网站流量具体怎么分析这节不说了,因为这个是王彦平作者的心血,大家还是买书吧,讲的很好. 常见引起流量变化的原因: 1.引荐网站自身流量变化 2.引荐链接形式变化 3.引荐链接所在的频道及页面变化 4.文字及内容变化

Android 流量分析 tcpdump &amp; wireshark

APP竞争已经白热化了,控制好自己Android应用的流量可以给用户一个良好的用户体验噢,给用户多一个不卸载的理由. Android 如何进行流量分析?用好tcpdump & wireshark这两个工具就好了. 1.tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ] tcp

网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。

科来 做流量分析,同时也做了一些安全分析(偏APT)--参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 作为安全工程师的你,想发现有谁在攻击我,还原攻击过程并且取证么? 作为立志成为网络技术大拿的你,想在学习理论知识的同时,了解实战中会遇到的哪些问题,这些问题用什么样的思路去解决么?如果以上答案为Yes,那么<CSNA网络分析经典实战案例>就是你的菜,以下内容全是网络安全真

bro流量分析(改名zeek)

计算机入侵取证: 计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程.它包括计算机证据的确定.收集.保护.分析.归档以及法庭出示. bro基础介绍: bro是一款被动的开源流量分析器.它主要用于对链路上所有深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控.虽然经常与传统入侵检测/预防系统进行比较,但bro采用了完全不同的方法,为用户提供了一个灵活的框架,可以帮助定制,深入的监控远远超出传统系统的功能. br

掘安攻防实验室(流量分析题)

突然想做一下流量分析题,记得掘安攻防实验室上面有很多的流量分析题目,故做之 流量分析题一般使用的都是wireshark,(说wireshark是流量分析工具里面的王牌应该没人反对吧 夺取阿富汗 说了分析http头,所以直接过滤http协议 追踪流 发现响应头里面有CTF: dGhlRmxhZ0luSHR0cEhlYWRlcg== 一看就是base64编码,解码得: 夺取阿曼: 下载之后解压,使用wireshark打开出错 当然在题目里面已经提示了pcap文件已经损毁,另外还有zip文件存在,我们

网络流量分析利器-可视化网络-netflow【1】-基础原理

网络流量分析利器-可视化网络-netflow[1]-基础原理 网络流量分析利器-可视化网络-netflow[2]-Cisco NetFlow 工作原理介绍及配置 网络流量分析利器-可视化网络-netflow[3]-netflow版本5和版本9区别 网络流量分析利器-可视化网络-netflow[4]-接收器nfdump简介 网络流量分析利器-可视化网络-netflow[5]-linux下数据采集器fprobe 网络流量分析利器-可视化网络-netflow[6]-生产网流量监控架构设计 fprobe

利用Fiddler和Wireshark解密SSL加密流量

原文地址:http://kelvinh.github.io/blog/2014/01/12/decrypt-ssl-using-fiddler-and-wireshark/ Fiddler是一个著名的调试代理工具,它不仅能解析HTTP,而且还能解析加密的HTTPS流量.Wireshark则是一个非常强大的网络包监控以及协议分析工具. 在本文中,只考虑使用SSL来加密HTTP,所以并不严格区分SSL和HTTPS,虽然从广义上来讲,将二者混为一谈是非常不合理的 . 看到这里,大多数人都会很困惑:Fi

360杯复赛流量分析题 详细writeup

题目名: 这是捕获的黑客攻击数据包 通过分析流量包,得知黑客先上传了一个文件: 追踪TCP流,可以看到文件内容,是一个木马: 然后通过get请求一个加密key,在响应里能看到key的值. 接下来就是用post传入命令,用key进行AES128.base64解密,再执行.执行结果也进行类似加密后回显. 把木马稍微修改作为命令的解码脚本: <?php $key="d59042be6e437849"; $post=" "; //此处填post内容 $post=ope