威胁趋势
近年来网络对抗日益突出,加密流量攻击占比持续上升。2020年全球70%网络攻击采用加密,2021年60%恶意软件使用加密通信。顶级APT组织攻击中,加密流量占比接近100%。国外厂商已普遍具备加密流量检测能力,如FireEye、Awake、Corelight等。攻防演练中,加密威胁类型包括探测扫描、暴力破解、漏洞利用、拒绝服务、Webshell等,涉及工具如APPscan、Hydra、Metasploit等;木马回联、反弹Shell、隐蔽隧道等威胁类型涉及CobaltStrike、CrossC2、各类木马等工具。
技术创新
加密流量分类包括明文流量、可解密流量、含嵌套加密流量、完全不可解密流量。当前技术路线分为解密检测和未解密检测,未解密检测可识别恶意软件、非法应用、未知威胁,但解密检测存在数据泄露和性能损失风险。技术创新方向包括网络行为分析、证书分析、背景流量分析、多流分析、机器学习等。恶意加密流量分类包括SSL加密、SSH加密、RDP加密、网络层/传输层/应用层隧道等。AI技术可用于不解密检测,但存在可解释性差等局限性。综合决策是当前最适合的技术路线,如原创鱼骨图、多模型机器学习智能研判等技术。
运营实践
运营实践关键环节包括威胁标签、原创鱼骨图、研判闭环(分析工具集)、加密业务基线构建。威胁标签结合握手检测、行为分析等模型;研判闭环通过分析工具集实现事件发现、溯源、关联分析;加密业务基线构建维度包括外联网、内联网、在线业务网等。运营进阶通过自适应加密业务基线及时发现可疑流量。
实战案例
2022年黑产HW中,95%以上受控样本采用加密通信,90%以上检出威胁为独家首发。主要加密威胁类型包括TLS木马、DNS隧道、ICMP隧道等。攻击手段包括社交网络钓鱼、0 Day、迂回分支机构等,攻击暴露面多。打穿后95%以上采用加密通信,第一时间检出能力关键。
