恶意软件加密通信概要分析
|
副问题[/!--empirenews.page--]
恶意加密流量是当前流量安详检测的痛点和难点。在未解密的环境下怎样检测恶意加密流量,呆板进修可提供颇为有用的办理方案。传统呆板进修依靠于实习数据集和特性工程,而汇集的种种恶意加密流量种类繁多,且也许含有“杂质”,假如对这些数据不加区分,直接举办实习,将会影响模子检测的精确率和误报率。
我们把些恶意加密流量分为三类:恶意软件行使加密通讯、加密通道中的进攻举动、恶意或犯科加密应用。本文首要针对“恶意软件行使加密通讯”举办说明,接下来将从三个方面举办叙述:
一、恶意软件行使加密通讯要素统计 为从宏观上总结恶意软件加密通讯纪律,我们对加密流量(十万个有用的恶意样本)的浩瀚要素举办了统计说明。本文对个中四个要素:通讯端口、SSL协议版本、客户端支持的加密套件个数和提供的扩展个数举办统计说明,从统计功效来看,恶意软件加密通讯的要素存在必然的纪律: 1. 通讯端口 恶意软件加密通讯行使的端口较为普及,不只包罗TCP443、TCP465等尺度端口,还包罗部门非尺度端口。整体来看回收TCP443端口最多,占85%以上;其他三个行使较量多的端口为TCP449、TCP9001、TCP465,别离占5.48%、3.71%、1.96%。 图1 恶意加密流量端口漫衍 2. TLS/SSL协议版本 在恶意软件的加密流量中,行使TLSv1.2协议通讯的占53.56%。早期的几类TLS/SSL版本仍在普及行使,如 TLSV1.2占56.24%,TLSV1.0占36.26%,SSLV3占6.97%,TLSv1.1和SSLV2占的比重极小。 图2 恶意加密流量TLS协议漫衍 3. 客户端支持的加密套件个数 从统计功效看到,有快要35%的恶意软件支持12个加密套件,快要25%的恶意软件支持21个,约10%的恶意软件支持36个。 图3 客户端支持的加密套件个数统计 4. 客户端提供的扩展个数 通过统计发明,高出98%的恶意软件客户端提供的TLS扩展个数小于7;个中占较量大的扩展个数是5、3、0,别离占38%、32%、11%。 图4 恶意软件客户端提供的扩展个数 二、行使加密通讯的恶意软件分类 我们监测发明,行使加密通讯的恶意软件家属高出200种,全部恶意软件中行使加密通讯占比高出40%,均匀天天新增行使加密通讯的恶意软件数目高出1000个,行使加密通讯的恶意软件险些包围了全部常见范例,如:特洛伊木马、打单软件、传染式、蠕虫病毒、下载器等,个中特洛伊木马和下载器类的恶意软件家属占较量高。 图5 加密通讯的恶意软件分类 六大类恶意软件TOP5的病毒家属如下(微软杀毒引擎): 图6 典范加密通讯恶意软件Top5 三、恶意软件加密通讯方法 通过对恶意加密流量的说明,我们把恶意软件发生加密流量的用途分为以下六类:C&C直连、检测主机联网情形、母体正常通讯、白站潜伏中转、蠕虫撒播通讯、其余。恶意加密流量用途与种种恶意软件的对应相关如下: 下面,我们将对种种加密通讯方法举办叙述: 1. C&C直连 恶意软件在受害主机执行后,通过TLS等加密协议毗连C&C(进攻者节制端),这是最常见的直连通信方法。基于我们监测的数据统计功效,C&C地理位置漫衍统计环境如下: 图7 C&C地理位置 2. 检测主机联网情形 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
