不解密数据竟也能识别TLS加密的恶意流量?

2017年7月1日下午1:29 • 行业观察

加密一直都是保护用户通讯隐私的重要特性，可如果恶意程序在传播过程中也加密的话，对这样的流量做拦截感觉就麻烦了很多。谈到加密，TLS(Transport Layer Security Protocol，传输层安全协议)就是当前使用非常广泛的协议：国外部分研究机构的数据显示，已有至多60%的络流量采用TLS，当然也包括一些恶意程序(虽然大约只有10%)。

这是怎么做到的/strong>思科已经公开了这份研究告，题为《辨认使用TLS的恶意程序(无需解密)》(英文其实表达得更为准确，名为”Deciphering Malware’s use of TLS”)。我们比较笼统地归结原理，其实是TLS协议本身引入了一系列复杂的数据参数特性——这些特性是可以进行观测检查的，这样自然就能针对通讯双方做出一些合理的推断。这份告中有提到：“通过这些特性，我们可以检测和理解恶意程序通讯方式，与此同时TLS本身的加密属性也能提供良性的隐私保护。”听起来似乎还是比较理想的新技术——在不需要对流量进行解密的情况下就达成流量安全与否的判断，的确具备很大意义。为此，思科大约分析了18个恶意程序家族的数千个样本，并在企业络中数百万加密数据流中，分析数万次恶意连接。整个过程中，络设备的确不对用户数据做处理，仅是采用DPI(深度包检测技术)来识别clientHello和serverHello握手信息，还有识别连接的TLS版本。“在这篇告中，我们主要针对433端口的TLS加密数据流，尽可能公正地对比企业一般的TLS流量和恶意TLS流量。为了要确认数据流是否为TLS，我们需要用到DPI，以及基于TLS版本的定制signature，还有clientHello和serverHello的信息类型。”“最终，我们在203个端口之上发现了229364个TLS流，其中443端口是目前恶意TLS流量使用最普遍的端口。尽管恶意程序端口使用情况多种多样，但这样的情况并不多见。” <div class="entry-copyright"><p style="font-size: 10px; color: #999999;">声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！</p></div>