攻防演练场景中的加密流量检测技术
<引言>
在对抗日益激烈、加密手段逐渐成为主流的今天,攻防演练场景中的加密流量也已逐渐成为主流,对加密流量检测的技术变得愈发重要。目前针对攻防演练场景的加密流量检测主要分为解密后检测和不解密检测两大类,传统的解密检测拥有可以直接将加密流量转化为明文后采用完善的传统手段继续检测的优势,但也有诸如性能耗损、隐私泄露以及可以解密的流量有限等缺点,基于上述问题,不解密检测的方法逐渐受到业界重视,本文将从不解密的前提下讨论加密流量检测技术。
在上期文章中,我们将攻防演练场景下的加密流量分为入联、横向、出联等三个大的类别,以下分别对三类流量的检测做相应介绍。
- 入联加密威胁
- 渗透阶段
在渗透过程中,加密流量多来自对暴露在公网上资产的扫描探测与暴力破解。这部分涉及到的主流加密协议主要有HTTPS(TLS)、RDP、SSH等,一套可行的方法是通过计算TLS、RDP、SSH等协议中每一组IP对在一个时间区间内时间与空间分布的平均值、标准差等属性,结合特定数学模型进行验证,初步判断这些流量在行为特征上是否可能存在漏洞扫描、暴力破解等攻击行为。行为符合的流量作为可疑流量,再结合事先搜集、研究、整理得到的工具静态特征、协议指纹进行二次判断,确定此次是否为攻击与攻击使用工具的具体的家族信息。以下分别进行举例:
- TLS扫描检测
利用“鱼骨图”进行分析,攻击总数为95次,频率为8次/分钟,多次会话中上下行载荷基本相似,最终检测攻击类型为扫描,威胁标签为skipfish2.10b_kali2018_32。
- RDP暴力破解检测
攻击总数:1312,攻击频率:43次/分钟,威胁标签:hydra,攻击类型:暴力破解。
- 后渗透阶段
在渗透阶段getshell之后,会有一系列持久化预置的动作,例如上传Webshell、正向代理等后门,从不解密加密流量检测的视角看,这一类问题的本质都是对Web服务等业务主机不合常规的访问,所以涉及的加密协议也以HTTPS(TLS)为主,我们的检测技术会围绕行为模型来设计:针对各种Webshell、正向代理进行深入研究,通过研究其业务特点总结流量特征,对目标为Web服务的多条TLS流中存在的多次会话进行切割比对,从流量的时空特征的角度入手来对会话做区分,分出哪些是以传输、响应指令为主的流量,哪些是正常的访问浏览,最后把认为不正常的这类流量再在现有的知识库中做对比以识别出真正的Webshell、正向代理类流量及其相关信息。
- 冰蝎加密流量检测
利用“鱼骨图”进行分析,握手模型评分:1,握手多处属性异常,单流行为模型评分:1,证书模型评分:0.66。系统综合决策评分:0.9,威胁类型:冰蝎3。
- 横向加密威胁
- 渗透阶段
横向渗透阶段,主要为已经进入内网后针对内网资产加密服务的扫描探测等,与入联阶段大部分相同,检测思路类似,但是由于内网渗透使用的工具与外网渗透有所不同,并且内网中的网络环境更为复杂,很可能有许多行为与扫描暴破类似的正常业务流量,所以要在二次判断上更加严格,否则就会产生海量误报。
- SSH暴力破解检测
SSH暴力破解鱼骨图 威胁标签:paramiko_2.6.0(成功),攻击类型:暴力破解,攻击总数:691,攻击频率:49次/分钟。
- 出联威胁
- 加密远控木马
一次完整的攻击很大概率会以最终的远控木马上线进行收尾,而在加密流量的领域,传统方法使用的字符串特征与各种匹配规则都不再奏效,而且与渗透阶段使用的工具类型比较集中完全相反,远控木马的种类极多,可以说是千变万化各不相同。很难做到获得大多数家族的特征,且本身这个所谓的特征大部分时候人眼看不出来,所以我们选择了人工智能机器学习为主结合特征、行为和指纹的综合决策方法来解决这个问题。以TLS协议为例子,我们将一条TLS流按握手、证书、域名、流行为等维度拆成了不同部分,每个部分单独训练模型,在学习了海量黑流量后最终得出一套多模型方案,其可以通过对TLS等标准协议的加密流量在握手、证书、流行为等维度进行分析,判断流量的黑白,再在此基础上与限定域指纹技术、多流行为模型等辅助方法有机结合判断家族,最终达到有效对各种使用了标准加密协议手段的木马通信做出报警的目的。
- Cobalt Strike TLS加密流量检测
TLS木马回联鱼骨图,威胁类型:Cobalt Strike(Beacon),综合决策评分:1,握手模型评分:1,握手多处属性异常,单流行为模型评分:1,证书模型评分:0.91,会话完整度:7(缺少SNI)。
- 加密隐蔽隧道
此处加密隐蔽隧道特指依托于不以加密通信为设计目的的常见标准协议之上,并自行设计加密方式通信的技术,严格来讲这种流量会出现在各个阶段,我们暂且放在出联威胁来讲。隐蔽隧道可能依托的协议分布于网络层、传输层、应用层等各个层面,设计协议也很广,常见的有TCP、UDP、HTTP、ICMP、DNS等协议。不论是对于ICMP、DNS这类在协议本身一些特性上进行设计意图之外的构造与利用而达到隐蔽通信目的的协议,还是TCP、UDP、HTTP这类只要把数据放在载荷中传输即可的协议,都可以先通过信息熵、01频次等算法确定数据是否加密来缩小范围,筛选出待检测流。再针对自行设计加密的隧道流量载荷中必定存在自定义结构的弱点,来设计一类一法对其做出检测。
- Cobalt Strike DNS隐蔽隧道流量检测
DNS隐蔽隧道检测鱼骨图,威胁类型:Cobalt Strike,综合决策评分:1,请求次数:43416,请求频率:142次/分钟,A类型请求占比43392条,TXT类型请求占比24。
- 综述
综上所述,我们综合利用多模型机器学习、指纹检测、特征检测、行为检测、统计检测等方法,对各种不同类型的加密流量进行有针对性的检测,在实战中对各类加密威胁、黑客工具等流量达成了较好的检出效果。检测技术简要架构如下图所示:
在上述检测方法中,都涉及到对攻防演练场景下大量黑客工具、木马等恶意软件本身的分析与特征规律的研究整理,这本身就是加密流量检测中除检测思路之外最重要也是最艰巨的步骤。攻防演练场景下加密流量增加的趋势不会改变,目前针对各类标准或非标准加密流量,我们进行了系统化对抗检测。未来会继续保持跟踪研究。
攻防演练场景中的加密流量检测技术相关推荐
- 【研究型论文】结合多特征识别的恶意加密流量检测方法(中文论文_信息安全学报)
文章目录 结合多特征识别的恶意加密流量检测方法 摘要 论文解决的问题与贡献 1. 正常流量与恶意流量特征比较 (1)会话的统计特征分析 (2)TLS协议特征分析 (3)服务器证书特征 (4)服务器域名 ...
- 自动驾驶采标系列六:复杂场景语义理解-交通识别检测技术
标注猿的第57篇原创 一个用数据视角看AI世界的标注猿 前几篇文章从两种数据的角度去学习了基于图片和激光雷达数据的算法,较为通俗的说明了其算法的逻辑,从而为理解其标注数据在使 ...
- 攻防演练过程中防守方必备的关键安全设备
部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备.安全检测设备.流量监控设备.终端防护设备.威胁情报 系统这五方面帮助读者了解.熟悉红队常用的关键安全设备. 边界防御设备 防火墙 防 ...
- 红蓝攻防演练过程中零失陷经验分享
本文选取了金融单位.集团公司和政府单位三个红队经典防守实 例,从防守思路.重点和职责分工等方面,直观展示了如何实操红队 防守各阶段的工作及防守策略.防护手段,给不同组织和业务场景 下,分阶段.有侧重开 ...
- 基于机器学习的恶意软件加密流量检测研究分享
1 概述 2 恶意软件加密流量介绍 3 加密HTTPS流量解析 4 特征工程 5 模型效果 6 具体实施 7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量 ...
- 无人驾驶中的 3D 目标检测技术
2020 年 2 月 12 日 14:33 随着全球科技的飞速发展,无论是汽车行业还是其他的各行各业,紧跟时代脚步的重要性都是不容置疑的.近年来,自动驾驶汽车得到了很高的关注,但是理想和现实的差距却犹 ...
- 线下门店消费场景中的感知和互动技术浅析
上接:线下门店场景化互动类产品浅析. 随着技术的快速发展和人们生活水平的不断提升,传统的零售模式已经难以满足消费者的需求,而且传统的运营模式需要进行重构.京东提出了无界零售的概念,刘强东表示:&quo ...
- 目标检测YOLO实战应用案例100讲-自动驾驶场景下的三维目标检测技术研究
目录 辅助驾驶场景下的目标检测算法研究 传统目标检测方法 基于深度学习的目标检测方法
- 攻防演练结束后 全面复盘,总结经验
总结阶段:全面复盘,总结经验 实战攻防演练的结束也是红队改进防守工作的开始.在每次红蓝 对抗演练结束后,应对各阶段进行充分.全面的复盘分析,提出整改 措施.一般须遵循"遗留最小风险" ...
- 蜜罐攻防演练落地应用方案
2022年攻防实战演练在即,蜜罐为备战中的您呈上一份"硬核"落地应用方案分享,助您理清思路,高效"备战". 接下来,将结合知道多年网络攻防经验,对攻防演练场景下 ...
最新文章
- 华为、北大、悉尼大学:最新视觉Transformer综述(2017-2020年)
- 冒泡排序用c语言实现
- Python爬取房天下租房信息实战
- 错误sudo: pip: command not found解决方案
- Swift之数组去重(去除重复元素)
- 79. Word Search 单词搜索
- Android之国际化部分文字生效而部分文字没有生效的坑
- Linux: I/O多路转接之epoll(有图有代码有真相!!!)
- 大数据电影可视化系统
- 微分方程_e的矩阵指数
- python影评_用Python分析18万条《八佰》影评,看看观众怎么说?
- 如何从godaddy转出域名
- LA 4670 Dominating Patterns,AC自动机
- mysql计算工作日函数_SQL实现工作日计算_MySQL
- c语言魔方编程,用C语言编程玩转魔方阵小游戏
- Introduction to NMOS and PMOS Transistors
- 超参数调整的方法介绍
- Python:实现natural sort自然排序算法(附完整源码)
- 【游戏开发】视觉小说休闲游戏
- 三维场景计算任意两点的空间距离
热门文章
- 数字疗法001 | 心理疾病太痛苦。把你的心理健康交给昭阳医生吧
- 古画会唱歌/图片说话对口型视频教程+工具素材
- linux nginx配置81端口用于访问web81
- 多重背包二进制优化(wzk吃小鸡腿)
- Quitting an application - is that frowned upon?
- 域名网址被微信屏蔽的解决方案微信域名网址被屏蔽了红了如何继续使用
- vscode修改界面颜色及风格(中文英文界面都有)
- 第一章-第六题(帮人抢票,帮人选课这些软件是否合法 你怎么看?)--By梁旭晖...
- 前后端分离实现上传图片的功能
- 如何用深度学习模型为自己做个漫画画像(含代码流程)