目前有超過一半的企業網絡流量已經被加密了，加密流量中隱藏著大量的惡意流量。從監測分析的數據來看，每10個惡意程序中就有超過4個會使用加密通信，而像這樣的使用加密通信的惡意程序每天新增的數量超過1000個。

　　傳統的流量檢測方法大多都是基于規則，或者對流量中提取的文件進行審計，可面對加密流量，這些檢測方法將不再適用。不僅如此，面對變種惡意程序以及未知加密威脅則更是無能為力。像冰蝎、哥斯拉等這種WEBSHELL工具，在某些特定的場景下，還可以通過解密后再對其明文流量進行檢測，但這種方案卻無法有效應對加密通信的反彈馬，無論是基于標準的SSL/TLS協議通信的，還是其他的加密通信類型。

　　如何在不解密的情況下發現惡意加密流量則成為了我們必須要面對的問題。本期發布牛品推薦第七期——觀成科技：觀成瞰云-智能威脅檢測系統。

　　牛品推薦第七期

　　標簽

　　加密威脅檢測、惡意加密流量檢測、未知威脅檢測及防御、高級威脅檢測及防御

　　用戶痛點

　　1）流量都被加密了，到底有沒有人在攻擊我？

　　如基于SSL/TLS協議的掃描探測；加密類WEBSHELL工具如冰蝎、哥斯拉等；基于SSH、RDP等加密協議的暴力破解等。

　　2）每天有大量的外聯加密流量，到底哪些是正常的？哪些是異常的？

　　超過60%的網絡流量已經加密了，既有基于標準加密協議的通信如SSL/TLS,也有基于私有加密協議的通信。在這些加密的網絡流量中，又隱藏著大量的惡意流量，如竊密類流量、木馬命令控制類流量等等。

　　3）到底有哪些人在沒有經過授權的情況下使用翻墻軟件或者VPN？

　　當前的網絡環境中，存在著大量的惡意或者非法的翻墻軟件、VPN等。這類灰色應用如果不加以識別和管控，除了有潛在的信息泄露的風險外，還極有可能成為某些高級威脅信息傳輸的通道。

　　解決方案

　　加密威脅檢測是一個體系化的問題，很難用單一的模型或者單一的方法來解決，不同的威脅類型，要有不同的解決方案。加密流量的內容雖然無法直接檢測，但是可以從很多其他角度對加密流量進行分析，這些角度包括：

　　1）微觀層面：兩個通信主體間的單次加密會話特性；

　　2）中觀層面：兩個通信主體間的多次加密會話特性；

　　3）宏觀層面：某固定時間段、固定網絡中所有通信主體間的會話特性。

　　通過對微觀、中觀、宏觀等特征進行提取、選擇后，結合AI多模型、行為分析以及規則檢測等，最終形成一整套針對惡意加密流量的檢測體系。

　　觀成瞰云-智能威脅檢測系統充分利用人工智能優勢特點，有效解決了在惡意加密流量檢測的難題，彌補了市場和技術空白，可實現對惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應用進行有效檢測和防御。

　　產品總體技術架構如下：

　　觀成瞰云-智能威脅檢測系統主要技術架構由3大模塊組成：加密通道攻擊檢測分析、使用加密通信的惡意軟件&惡意應用檢測分析、密數據挖掘分析。

　　加密通道攻擊檢測分析，主要是針對SSL、SSH、RDP等加密通道的攻擊行為檢測，檢測方法包括：行為檢測、規則檢測、流簽名檢測、指紋檢測、登錄行為檢測等。

　　使用加密通信的惡意軟件&惡意應用檢測分析，主要是針對使用加密通信的惡意軟件、惡意應用進行檢測和識別，檢測方法包括：行為檢測、AI多模型檢測、規則檢測等。

　　密數據挖掘分析，主要是針對網絡中所有密數據進行深度挖掘、關聯分析，包括對密數據的信息提取、特征提取、單流畫像、多流畫像，以及對SSL加密數據的基礎識別、應用識別、分類識別和算法識別等。

　　用戶反饋

　　某監管單位網絡安全專家：

　　加密流量檢測目前在國內大部分只是在科研階段，發表一些文章而已。觀成科技是屬于最早能夠落地的產品供應商之一。

　　某央企部門負責人：

　　在與觀成科技開展合作時我們做了實際樣本測試，有3家公司參與，觀成的測試準確率誤報率優于其他公司，所以我們選用了他們的產品。

　　某集團安全負責人：

　　觀成科技的產品技術思路新穎，解決了其它產品無法解決的問題。目前在使用過程中，也發揮了較大的應用價值。

　　推薦理由

　　對于加密流量的威脅檢測，傳統的檢測技術很難有效，技術門檻較高，國內在加密流量檢測領域的形成產品化落地的廠商較少，觀成科技目前申請的加密流量檢測相關的國家發明專利已超過20篇，具備一定的技術能力；觀成科技的加密流量檢測方案在軍工、網信、部委、央企等多個重要行業均有落地應用，僅2020年在現網中發現的加密類APT攻擊事件已超過10起，實戰效果突出。