尽管我们无法查看加密流量,但思科技术负责人Blake Anderson和思科高级安全研究事业部院士(Fellow)David McGrew发现了一种特殊的方法,可以获知内部隐藏内容的线索。https://dl.acm.org/citation.cfm?id=2996768
Anderson和McGrew在16年十月发表的一篇名为《使用上下文流(背景流量)数据识别加密恶意软件流量》的文章中写道:“识别加密网络流量中的威胁,为我们带来了一系列网络安全挑战。”监控这一流量对于发现威胁和识别恶意软件来说非常重要,他们表示:“我们需要一种能够保持加密完整性的方式,来帮助我们实现这一目标。” 他们**开发了监督机器学习模型,能够充分利用网络流数据独特且多样化的特性。**他们介绍道:“这些数据特性包括TLS握手元数据、链接到加密流的DNS环境流,以及五分钟内来自同一源IP地址的HTTP-环境流的HTTP标头。”
研究人员研究了数百万不同流量上恶意流量和良性流量在使用TLS、DNS和HTTP方面的差异,提炼出了恶意软件最明显的一系列特性。
这一过程经过了真实数据的测试,以确保不会产生误报。最终思科推出了加密流量分析(ETA)技术,能够在加密数据的三个特征中寻找恶意软件的痕迹。
首先是联接的初始数据包。这一数据包可能包含有关其余内容的宝贵数据。然后是数据包长度和时间的顺序,可以针对自加密流量开始传输以后的流量内容提供重要线索。
最后,加密流量分析能够检查被分析的数据流中数据包的有效载荷上的字节分布。由于这一基于网络的检测流程由机器学习技术支持,其功效会随着时间的推移而持续上升。
思科推出了加密流量分析功能(Encrypted Traffic Analytics),并且将来自全新Catalyst® 9000交换机和Cisco 4000系列集成多业务路由器的增强型NetFlow,与思科Stealthwatch的高级安全分析能力进行组合。
思科企业网络、物联网和开发商平台市场营销副总裁Prashanth Shenoy表示:“思科凭借一流的安全产品组合,持续为其网络设备构建安全特性。思科推出的全面威胁防御架构可将网络作为传感器和执行平台,来查看并处理所有威胁。”简而言之,全球所有通过思科设备的流量现在都将向庞大的威胁检测系统提供情报,使该系统能随时随地检测并阻止威胁。Shenoy表示:“就如同我们看到有人在争执的时候,我们可能无法听到他们在说什么,但仍可以从他们的手势和表情中得知发生了什么。思科拥有显著的优势,为现有的和未来的客户提供加密流量分析。只有采用我们最新芯片组的全新硬件才能够高速实时地进行分析,同时不会导致流量传输速度减缓。”
同时,思科的产品安装量遥遥领先于全球其他网络厂商,这意味着思科威胁防御系统的学习速度也远远超过其他厂商的产品。
采用Stealthwatch的思科网络不仅可以检测加密流量中的恶意软件,还可提升加密合规性,包括揭示TLS策略违规、发现加密套件漏洞以及持续监控网络的不透明性等。
这意味着网络将能够检测威胁,从而一举解决了网络加密流量所面临的主要挑战。Keanini表示:“借助我们的创新成果,企业将能更好地使用网络来打造极具竞争力的安全应用。通过使用机器学习技术来分析元数据流量模式,思科甚至能够在加密流量中发现已知威胁,并有效规避风险,而无需解密流量,这一技术手段是前所未有的。正是因为如此,思科新一代网络将成为唯一一个既能为企业带来强大安全性又能可靠保护隐私的系统。”
https://www.freebuf.com/articles/database/130139.html
