恶意加密流量是当前流量安全检测的痛点和难点。如何在不解密的情况下检测恶意加密流量,机器学习可以提供一个相当有效的解决方案。传统机器学习依赖于训练数据集和特征工程,收集到的恶意加密流量种类繁多,可能含有“杂质”。如果不对这些数据进行区分直接训练,会影响模型检测的准确率和误报率。我们将恶意加密流量分为三类:使用加密通信的恶意软件、加密通道中的行为以及恶意或非法加密应用程序。本文主要针对“使用加密通信的恶意软件”进行分析,然后从三个方面进行阐述:使用加密通信元素的恶意软件统计;使用加密通信的恶意软件分类;恶意软件加密通信方式分析。1.恶意软件使用的加密通信要素统计为了从宏观上总结恶意软件加密通信的规律,我们对加密流量的多个要素(100,000个有效恶意样本)进行了统计分析。本文对通信端口、SSL协议版本、客户端支持的密码套件数量、提供的扩展数量四个要素进行统计分析。从统计结果来看,恶意软件加密通信的要素有一定规律:1.通信端口恶意软件使用范围广泛的端口进行加密通信,不仅包括TCP443、TCP465等标准端口,还包括一些非标准端口。总体来说,TCP443端口使用最多,占比超过85%;其他三个使用最多的端口是TCP449、TCP9001和TCP465,分别占5.48%、3.71%和1.96%。图1恶意加密流量端口分布2.TLS/SSL协议版本在恶意软件加密流量中,TLSv1.2协议通信占比53.56%。几个早期的TLS/SSL版本仍然被广泛使用,如TLSV1.2占56.24%,TLSV1.0占36.26%,SSLV3占6.97%,TLSv1.1和SSLV2所占比例很小。图2恶意加密流量的TLS协议分布3.客户端支持的密码套件数量根据统计结果,近35%的恶意软件支持12个密码套件,近25%的恶意软件支持21个,约10%的恶意软件支持支持36个。图3客户端支持的密码套件数量统计4.客户端提供的扩展数量据统计,超过98%的恶意软件客户端提供的TLS扩展少于7个;扩展数量最多的是5、3和0,分别占38%、32%和11%。图4恶意软件客户端提供的扩展数量2.使用加密通信的恶意软件分类我们监测发现,使用加密通信的恶意软件家族有200多种,其中超过40%的恶意软件使用加密通信。新增使用加密通信的恶意软件数量超过1000个,使用加密通信的恶意软件几乎涵盖所有常见类型,如:木马、勒索、感染、蠕虫、下载器等,其中木马和下载器占恶意软件的比重这一类的家庭比例比较高。图5加密通信恶意软件分类6大类恶意软件TOP5的病毒家族如下(微软杀毒引擎):图6Top5典型加密通信恶意软件三、恶意软件加密通信方式通过对恶意加密流量的分析,我们发现恶意分类软件产生的加密流量的目的分为以下六类:C&C直连、检测主机网络环境、正常父通信、白站隐蔽传输、蠕虫传播通信、其他。恶意加密流量的目的与各类恶意软件的对应关系如下:下面对各种加密通信方式进行说明:1.C&C直连恶意软件在受害主机上执行后,连接到C&C(受控由黑客)通过加密协议,如TLS。终端),这是最常见的直接通信方式。根据我们监测数据的统计结果,C&C地理位置分布统计如下:图7C&C地理位置2.主机联网环境检测有些恶意软件在连接到C&C服务器之前,会直接访问互联网网站检测主机联网情况.这些操作还会生成TLS加密流量。经统计发现:使用查询IP的站点最多,约占39%;使用访问搜索引擎的网站约占30%,其他类型的网站约占31%。图8检测宿主网络环境站点3.母程序正常通信传染性病毒是在可执行文件中嵌入恶意代码,当母程序运行时触发恶意代码。母体感染后产生的流量包括母体应用本身的网络流量和恶意软件产生的流量。由于可被感染的父程序类型较多,加密后的通信流量与恶意样本本身的特征基本无关,本文不再赘述。4.白站隐蔽中转白站是指可信度高于C&C服务器的站点。黑客将控制命令的载荷隐藏在白站中。恶意软件运行后,黑客通过SSL协议访问白站,获取相关恶意代码或信息。通过统计发现,最常用的白站有Amazonaws、Github、Twitter等。图9.白色车站、隐藏中转站的排名。隐藏恶意代码的中转文件类型包括图片、脚本、二进制数据等,具体如下:5、蠕虫传播通信蠕虫具有自我复制、自我传播的功能,一般利用漏洞、电子邮件等方式传播。和其他传播方式。监测显示,近年活跃的邮件蠕虫开始使用TLS协议发送邮件。例如,Dridex家族包含基于TLS协议的电子邮件蠕虫模块。我们分析了36个蠕虫家族样本,其中5个家族使用加密通信协议与C&C服务器建立连接:图10蠕虫样本加密通信占比6.其他通信类型包括广告软件、漏洞利用等产生恶意加密流量。4.总结我们总结了下图中常见恶意软件使用的加密通信方式:图11恶意软件加密通信示意图它进行分类,然后进行特征工程和模型训练调整参数。数据分类处理的精细度和准确性将直接影响最终模型检测的准确性和误报率。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
