由中國網絡安全產業聯盟（CCIA）主辦的“2021年網絡安全優秀創新成果大賽”總決賽在國家網絡安全宣傳周期間舉辦，觀成科技憑借創新產品“觀成瞰云-加密威脅智能檢測系統（ENS）”榮獲一等獎。產品的技術創新性、領先性和實用性吸引了在座的專家評委及現場觀眾，其獨創的“魚骨圖”加密流量檢測設計更是點睛之筆。我們通過“魚骨圖”一起來探索觀成瞰云-加密威脅智能檢測系統（ENS）的獨特之處。

　　觀成瞰云-加密威脅智能檢測系統（ENS）綜合運用人工智能和行為檢測、規則檢測、指紋檢測等安全檢測技術，解決了惡意加密流量檢測難題。但在早期產品應用過程中，因系統綜合決策體系復雜、涉及因素繁多，也給檢測結果的可解釋性造成了一定挑戰。如何將復雜的決策過程形象的進行體現，讓用戶能一眼看明白加密流量檢測的因素、結果？觀成科技經過不斷的探索，最終形成了加密流量檢測“魚骨圖”來解決上面的問題。

　　l“魚骨圖”介紹

　　“魚骨圖”用于呈現加密流量的報警情況，分為魚尾、魚刺及魚頭三部分。其中魚尾部分用于呈現加密握手協商模型的檢測結果；魚刺部分用于呈現通信實體間（IP對）單次會話和多次會話的行為特征；魚頭由三部分組成，分別呈現背景流量、證書以及關聯DNS等3個模型的檢測結果。“魚骨圖”不同部分分別對應產品的各種檢測模型、檢測方法。每種檢測模型的檢測結果為0-1之間的預測值，數字越大表示異常等級越高。在“魚骨圖”中用不同的顏色表示異常的等級，分別是綠色（正常 得分小于0.5）、黃色（可疑 得分在0.5-0.7之間）、橙色（異常 得分在0.7-0.9之間）、紅色（嚴重 得分大于0.9）。

　　除“魚骨圖”的圖形本身之外，在魚骨圖上方的醒目位置，觀成瞰云（ENS）將系統綜合決策評分和威脅標簽進行呈現，讓用戶對檢測結果和威脅類型一目了然。在“魚骨圖”的左右兩側和下方，分別對加密握手協商、加密協議證書、單流和多流行為參數、DNS/HTTP等背景流量的關鍵參數進行展示，豐富的信息量有助于客戶直接深入了解加密流量性質、類型。

　　l“魚骨圖”檢測舉例

　　觀成瞰云（ENS）對不同的加密流量進行檢測，在魚骨圖中會呈現不同的效果。我們簡單列舉以下幾種類型：

　　1

　　正常加密流量檢測結果

　　使用熱門瀏覽器訪問正常HTTPS網站流量的檢測結果如上圖所示。從圖中分析，客戶端、服務端、DNS、證書的檢測評分都比較低，魚頭和魚尾均顯示綠色。單流和多流行為檢測呈現一定的隨機性，因此得分也比較低。最終系統決策結果評分0.31，威脅標簽為空。

　　2

　　APT流量檢測結果：響尾蛇

　　上圖是“響尾蛇”APT組織加密檢測結果。從圖中可以看到，與正常加密流量相比，無論是客戶端、服務端、證書還是DNS，觀成瞰云（ENS）的各種模型得分均有顯著提高，體現模型輸出的魚尾、魚頭部分也變成了橙色、紅色。從魚刺方面看，能看到典型的上下行載荷、包數相同的情況，這與正常上網瀏覽的行為存在顯著不同，因此流量特征報警也給出了0.92的分數。經系統綜合決策，最終評分為0.77，通過規則、行為的匹配分析，系統發現該流量為響尾蛇APT組織流量，并打上了相應的威脅標簽。

　　3

　　APT流量檢測結果：海蓮花

　　除TLS加密流量外，觀成瞰云（ENS）也支持對利用DNS等協議進行隱蔽隧道傳輸的惡意流量。上圖是APT組織“海蓮花”使用的木馬家族“Denis”隧道流量檢測結果。該木馬利用DNS的A記錄、NS記錄進行心跳和信息回傳，從“魚骨圖”中可清晰看出隱蔽隧道中的心跳行為。系統綜合決策得分為0.97，威脅標簽為Denis。

　　4

　　黑客工具檢測結果：Cobalt Strike

　　Cobalt Strike是近年紅隊常用的滲透平臺。上圖是系統針對Cobalt Strike產生的TLS命令控制流量的檢測結果。從圖中分析，系統對該流量的握手協商、證書和單流、多流行為均進行了告警，綜合評分為0.93，威脅標簽為Cobalt Strike。

　　5

　　傳統木馬檢測結果：Upatre

　　Upatre家族為第一階段的木馬家族，主要是下載木馬進行第二階段的攻擊。一般下載者流量在“魚骨圖”整體上載荷不會太大，且下行流量大于上行。在圖中可以看到，系統對Upatre的加密握手協商、證書的流行為進行了告警，綜合得分為0.98，威脅標簽為Upatre。

　　6

　　隱蔽隧道檢測結果：DNS隧道

　　DNS隱蔽隧道黑客入侵、命令回傳常用的方式之一。上圖是利用Cobalt Strike搭建DNS隧道通信流量的檢測結果。從上圖分析，該流量利用DNS的A記錄傳輸信息，在短時間內進行了大量DNS請求/響應交互，這一點在魚刺部分的體現非常直觀。最終系統綜合AI、規則和行為檢測結果，判定為Cobalt Strike產生的DNS隧道流量。

　　l“魚骨圖”的“大道至簡”

　　觀成瞰云（ENS）綜合使用了人工智能多模型檢測，輔之以規則檢測、行為檢測、指紋檢測等傳統檢測方法，實現對惡意加密流量檢測。雖然加密流量檢測體系復雜、因素繁多，但是并沒有影響觀成瞰云（ENS）產品向用戶闡述決策過程。我們相信智慧是認識事物本實這一道理，引導我們透過現象觀察到事物本身的目的和內在的聯系，堅持“用最簡單的呈現解釋最復雜的檢測”的“大道至簡”設計原則，用一張“魚骨圖”融合多個引擎檢測、規則檢測、行為檢測結果，結合豐富的信息呈現，完美解決了加密流量檢測結果可解釋性的問題。

　　l觀成瞰云（ENS）簡介

　　觀成瞰云-加密威脅智能檢測系統（ENS）是觀成科技將人工智能與安全檢測技術相結合的創新型安全產品，可針對惡意軟件、黑客工具、非法應用等加密威脅進行有效檢測。該產品為觀成科技自主研發、具有完整的知識產權，解決了惡意加密流量檢測難題，填補了市場和技術空白。

　　除了獨創的“魚骨圖”加密流量檢測吸引了大家的眼球，觀成瞰云（ENS）的其他創新點也不容忽視：

　　1.細粒度加密流量特征工程構建技術；

　　2. 惡意加密多流行為特征挖掘分析技術；

　　3.面向攻防演練常見下的黑客工具加密流量識別技術；

　　4.面向加密類高級威脅檢測分析技術。

　　與此同時，觀成瞰云（ENS）還具有使用加密通信的惡意軟件檢測、使用加密通信的黑客工具檢測、使用加密通信的非法應用檢測、未知和新型加密威脅檢測等功能。