加密流量安全检测的 探索与实践 于海东 观成科技联合创始人 针对加密流量的安全检测和防御，势在必行 Gartner ： 2019 年，超过 80% 的企业网络流量将被加密；加密的流量中将隐藏超过 50% 的网络恶 意软件。  共监测到加密通信样本家族数量>200种  加密通信样本所占比例>40%  每日新增加密通信恶意样本数量>1000个 恶意明文流量占比 恶意加密流量占比 2019 时间 加密威胁覆盖类型众多 加密通信恶意软件分类 其他 13% 特洛伊木马 33% 勒索软件 1% 感染式 7% 下载器 43% 蠕虫病毒 3%  几乎涵盖所有类型  端口不固定  加密协议分布广泛 特洛伊木马 勒索软件 感染式 蠕虫病毒 下载器 其他 通信要素多样性 端口分布 100.00% 90.00% 86.06% 80.00% 70.00% 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 5.48% 3.71% 1.96% 0.59% 0.22% 0.18% 0.17% 0.11% 0.11% 0.10% 1.33% 9001 465 447 4443 9101 51234 8443 9002 4143 其他 0.00% 443 449 通信方式多样性 • 常见恶意软件使用加密通信方式汇总 通信场景多样性 宏观维度 微观维度 最细粒度的特征工程 Session Ticket Server name 神经网络模型预测“证书正常度” 结果 Status Request 其它 应用协议拓展 主拓展秘钥 1000余种特征，生成370类可视化特征对比图 AI检测模型技术路线 加密威胁检测综合决策体系 ②③④⑤ 加密威胁1 ⑦ ⑧ ① ② ③ ④ 规则检测 结果 行为画像 分析结果 背景流量 分析结果 威胁情报 检测结果 AI多模型检测结果 客户端指 纹结果 服务端指 纹结果 解密检 测结果 规则检测 行为画像 背景流量 威胁情报 AI多模型检测 客户端 指纹 服务端 指纹 解密 版本 版本 恶意软 件特征 模型1 DNS 速率 3 相似度 加密流量 …… 检 测 算 法 N 证书指 纹 检 测 算 法 3 其它 检 测 算 法 2 分布 检 测 算 法 特 征 工 程 特 征 工 程 域名 1 其它 特征 特 征 工 程 2 1 应用 特征 模型 N 模型3 IP 特 征 工 程 HTTP 模型2 ⑥ 加密套 件 加密套 件 扩展信 息 扩展信 息 串接 代理 N 攻击工 具特征 斜率 ⑤ Sessio nID Sessio nID 压缩方 式 压缩方 式 旁路 解密 RSA DH …… 恶意代 码解密 观千剑，而后识器  过度依赖算法  误报率、可解释性  专家、场景化  未来可期 多维度、多模型 从切片到时序 数据集、特征集、标签 AI带来新思路 效果甚微 ① 距落地应用有差距 ② ③ ④ 总结 1 加密威胁递增的趋势不可阻挡 2 加密威胁检测具备落地应用的条件 3 短期定位：人机结合的检测分析机制 4 加密威胁检测需要体系化的解决方案 路虽远，行则将至 SSH IPSec 深化扩展 RDP 应用落地 SSL PGP 摸索研究 L2TP PPTP …… 加密威胁检测是一条艰难又漫长的道路，而我们会一直坚定地走下去！ THANKS