外国服务器,香港服务器,美国服务器,高防服务器,服务器租用,服务器托管
首页 > 新闻资讯 > 行业资讯
如何去识别出加密恶意软件
2019-01-05 17:22:58 | 来源:极客网络 | 作者:liuchuang

       在这两年中,咱们一向在系统的搜集和剖析恶意软件生成的数据包捕获。在此期间,咱们观察到,有一种恶意软件是运用根据TLS的加密来躲避安全检测,而这种恶意软件的版本百分比正在稳步添加。2015年8月,2.21%的恶意软件版本运用TLS,而到了2017年5月,数据添加到21.44%。在同一时刻段内,运用TLS可是没有和HTTP进行未加密连接的恶意软件,从0.12%添加到4.45%。

       识别加密网络流量中包括的要挟会带来一系列共同的挑战。监控这些流量,使他们不受恶意软件要挟和损害是非常重要的,这样做也是为了保护用户的隐私。由于在TLS访问时,模式匹配作用较差,因而咱们需要开发一种新方法,即能够精确检测恶意软件的通讯。为此,咱们利用运用流的各个数据包长度,以及抵达时刻距离来了解传输数据的行为特征,并运用ClientHello中包括的TLS元数据,来了解传输数据的TLS客户端。 咱们将这两种视图结合在一个受监督的机器学习框架中,这样咱们便能够在TLS通讯中检测已知和不知道的要挟。

       在这个项目的整个生命周期中,咱们一向以为数据是咱们成功的核心。咱们与ThreatGrid和Cisco Infosec协作,获取恶意包捕获和实时企业数据。这些数据反应对咱们的协助是巨大的,它能够引导咱们的剖析,并且发展出最具信息量的流动特征。咱们所剖析的数据特性是非常风趣的,为了让咱们了解风趣在那里,咱们首要重视一个特定的恶意软件版本,bestafera,它是闻名的键盘记载和数据走漏软件。

       通过数据包长度和时间进行行为剖析

       显现了两个不同TLS会话的数据包长度和抵达距离:x轴表明时刻,向上的线表明从客户端(源)发送到服务器(目的地)的数据包巨细,向下的线表明从服务器发送到客户端的数据包巨细。红线表明未加密的音讯,黑线是加密的使用程序数据记载的巨细。

       谷歌搜索遵从一种典型模式:客户端的初始请求位于一个小的出站数据包中,然后是很多响应,它跨过许多MTU巨细的数据包。这几个来回的数据包是谷歌在我还在输入时,主动完成的搜索。 最后,谷歌以为它对我输入的内容有自己想法,所以发送了一组更新的成果。 bestafera与之通讯的服务器首要发送一个包括自签名证书的数据包,握手后,客户端立即开始将数据走漏到服务器。然后是暂停,服务器定时发送计划指令和操控音讯。针对会话内容,数据包长度和抵达时刻距离无法供给更深入的见解,但它们的确有助于推断会话的行为方面。
       运用TLS元数据对使用程序进行指纹识别

       TLS ClientHello音讯供给了两个特别风趣的信息,他们能够用来区分不同的TLS库和使用程序。客户端向服务器供给了一个列表,这其间包括在客户端的优先级中订货的合适暗码套件的列表。每个暗码套件界说了一组方法,例如加密算法和伪随机函数,这些方法将运用TLS建立连接和传输数据。客户端还能够发布一组TLS扩展,它能够向服务器供给密钥交换所需的参数,例如ec_point_formats。

       在供给的唯一暗码套件的数量和供给的不同子组中,暗码套件供给的向量是能够改变。类似的扩展列表也会根据连接的上下文而改变。由于大多数使用程序通常有不同的优先级,所以,在实践中,这些列表能够并且的确包括很多歧视性信息。例如,桌面浏览器倾向于更重的分量,更安全的加密算法,移动使用程序倾向于更高效的加密算法。他默认的暗码套件供给与TLS库绑缚的客户向量,并且他通常供给更广泛的暗码套件,这样能够协助测验服务器配置。

       大多数用户级使用程序,以及在野外看到的很多TLS连接,都运用盛行的TLS库,如BoringSSL,NSS或OpenSSL。这些使用程序通常具有唯一的TLS指纹,由于开发人员会修改库的默认值,这样便能优化它的使用程序。更明确地说,OpenSSL 1.0.1r中s_client的TLS指纹很可能与运用OpenSSL 1.0.1r进行通讯的使用程序不同。这也是为什么bestafera的TLS指纹既风趣又共同的原因——它运用OpenSSL 1.0.1r的默认设置来创立其TLS连接。

       特征表明

       咱们重视的是三种数据类型的简略特性:传统的NetFlow、数据包长度以及从TLS ClientHello获取的信息。这些数据类型都是从单个TLS会话中提取的,但咱们还开发了包括多个流的特征模型。在练习之前,将一切特征都归一化为具有零均值和单位方差。

       Legacy

       咱们运用了传统NetFlow中存在的5个功用:流的持续时刻、从客户端发送的数据包数、从服务器发送的数据包数、从客户端发送的字节数以及从服务器发送的字节数。

       SPL

       咱们创立一个长度为20的特征向量,其间每个条目都是双向流中相应的数据包巨细。从客户端到服务器的数据包巨细是正数,从服务器到客户端的数据包巨细是负数。

       TLS

       咱们剖析了供给的暗码套件列表,以及ClientHello音讯中包括的广告扩展列表。在咱们的数据中,咱们观察到176个共同的暗码套件和21个共同的扩展,这导致了长度为197的二进制特征向量。假如暗码套件或扩展名出现在ClientHello音讯中,则相应的功用设置为1。

       学习

       一切的成果都运用了scikit-learn随机森林完成。根据咱们之前进行的纵向研讨,咱们将集合中树木的数量设置为125棵,并且将树的每一次分裂所考虑的特征数量设置为特征总数的平方根。随机森林模型运用的特性集由留传特性、SPL、TLS特性的某些子集组成,具体需要看试验情况。

      成果

      咱们从ThreatGrid的一个企业网络Site1和324,771流量中抽取了1,621,910个TLS流量,然后练习咱们的随机森林模型。然后,咱们模拟了从单独的企业网络Site2中看不见的数据部署模型,以及在上一个数据集之后的两个月内,搜集的恶意软件数据。表1显现了该试验在不同阈值下的成果。0.5是分类器的默认阈值,并且阈值越高,练习的模型就越确定TLS流是由恶意软件生成的。恶意软件/良性的精确性是分开的,这样便能证明特征子集超过了一个特定的类。例如,Legacy能够在良性集上完成挨近完美的精确性,但这些功用无法推广到恶意软件数据集。

       在0.99的阈值处,运用Legacy / SPL特征的分类器正确的分类了98.95%的良性版本和69.81%的恶意版本。假如咱们将有关使用程序(TLS)的信息与网络流量(SPL)的行为特征相结合,这些成果将得到显着改进。Legacy / SPL / TLS的组合是良性和恶意软件版本上功能最佳的模型。 在0.95的阈值下,该模型别离关于良性和恶意坚持数据集完成了99.99%和85.80%的精确度。


本文链接:http://www.gkidc.com/news/idc/215.html

所属栏目:行业资讯

【本文由极客网络发布;内容来源于互联网或原创,转载联系作者并注明出处:投稿请发至邮箱 layton@zhi-yue.net 】

最新新闻

查看更多

相关新闻

查看更多

推荐优选服务器

国内外服务器租用、服务器托管,365天24小时极致服务体验~认准极客网络!
在线咨询
24H在线售后
11082052
24H服务热线
0769-88836624
IDC/ISP/IRCS/增值电信业务经营许可证号:粤B1-20190887
COPYRIGHT © 2010-2018 广东极客网络科技有限公司 版权所有.粤ICP备18157343号
极客网络提供:服务器租用,服务器托管,高防服务器,香港服务器,美国服务器,韩国服务器,日本服务器,台湾服务器,免备案服务器,bgp高防服务器,站群服务器,等外国服务器IDC服务;敬请放心选购!

在线
客服

客服
热线

0769-88836624
7*24小时服务热线

关注
微信

马上推出关注官方微信
顶部