加密流量威胁检测法宝：360NDR一招制敌

随着全球数字化转型的加速推进，越来越多的政府、城市、企业成为各种高级威胁攻击的受害者，而在数据成为核心资产后，数据泄露、数据丢失、数据篡改的风险也与日俱增。此时，以系统集成思维、卖货思维为导向，忽视体系化安全运营与安全专家的传统安全防御方式已然失效，网络安全行业亟需升级理念。

近日，360基于“安全即服务”理念推出360安全云，通过云化、服务化平台、探针、数据、专家，依靠360数字安全托管运营服务，让各行各业的用户都能抓住重点、有的放矢，实现技术、体验和商业模式上的创新与颠覆。

其中，探针决定了企业能否拿到真正有价值的数据，是安全运营的重要一环。一直以来，从海量流量数据中发现高级威胁攻击线索都是难上加难，加之越来越多企业选择加密技术保护自身数据安全，越来越多的网络威胁也随之隐藏在加密流量中，大量APT组织已将加密技术应用到攻击及武器使用过程中，部分国家级APT组织已全面实现攻击加密化。

加密流量威胁如何应对

经过加密的流量，无法获知加密数据信息，传统明文检测使用的规则匹配、载荷还原检测等流量检测技术无法对加密会话所传递信息内容进行检测。目前市面上常见的应对加密流量检测方案有两种，分别是：解密检测和不解密检测。

解密检测方案

解密检测原理仍是基于明文进行检测，只是在检测之前需要上传SSL证书进行加密卸载。解密检测面临几个问题：

1.解密违背了“加密”的初衷——隐私及安全。

2.大量的加密流量因缺少证书而难以解密。

3.流量解密过程会严重消耗CPU计算性能，抢占流量检测资源。

不解密检测方案

主要是通过机器学习的方法，运用加密威胁模型进行训练，从而识别出加密流量中的威胁。机器学习算法需要有效的数据样本进行模型训练，数据质量不佳、数据维度及数据集样本量不足往往会影响模型的精度和泛化能力。

直击加密场景痛点

创新AI检测模型

为有效应对加密流量攻击，快速发现和识别加密流量中的各种威胁，360推出了加密流量威胁检测法宝：360高级持续性威胁预警系统（NDR）。

360高级持续性威胁预警系统（NDR）在支持SSL解密检测方案的同时，更聚焦不解密方案。产品依托于360多年的数据和攻防实战积累，运用AI解释性模型加密流量分析技术，针对加密流量人工分析及溯源难的特点，从多个维度识别加密流量中的威胁。

目前，360 NDR已支持不少于300个加密流量攻击家族识别，支持10个以上APT伪装类加密网络武器识别，涵盖50个以上APT组织的通信识别。

360NDR加密流量检测原理

经过近20年的发展，针对明文流量的检测技术已经相对完善，尽管不同产品、模型的功能各不相同，但是其检测原理比较统一。目前，针对明文的检测原理可分为三大类技术方法：载荷内容检测、行为分析模型、威胁情报匹配，见下图：

通过对大量加密攻击案例的分析和整理，360 NDR针对加密流量的检测主要依赖于加密协议检测、行为分析模型与威胁情报匹配三大类技术方法，见下图：

360NDR加密流量检测解决方案

1、SSL/TLS流量攻击检测

异常证书检测：对SSL/TLS流量进行截取和解析，提取证书信息，通过与已知恶意的证书进行比对，训练异常或恶意的证书检测模型，可以发现网络中存在的攻击行为，如中间人攻击、钓鱼攻击、僵尸网络攻击等，并且可以根据证书信息推断出攻击工具或来源。

伪装类加密检测：针对Lazarus为首的APT组织采用伪装类SSL流量进行攻击的情况，通过对SSL协议格式微标签、加密传输载荷、数字证书等内容深入分析，区分伪装类加密流量。下图为Lazarus伪装类加密流量案例：

2、加密WEBSHELL检测

当前实网攻防演练、重保以及实际网络攻防中，采用加密WEBSHELL进行控制已经是常见的手段之一，如：冰蝎4.0、哥斯拉4.0等，已经成为HW中的利器。

360 NDR收集了数千个加密webshell的通信流量样本，包括魔改版、原版等，一方面通过AI对其通信过程进行训练，发现潜在的加密webshell通信行为，目前检出率达到90%以上；另外一方面通过识别加二次研判模型的方式，通过对可疑线索全量抓捕，二次研判模型删除误报的方式，来识别发现潜在的已知和未知加密WEBSHELL通信行为。

3、异常行为检测

异常行为分析模型中，支持隐蔽信道检测、DGA、异常心跳、动态域名检测，支持针对对非法VPN代理应用流量进行分析，提取可选加密套件、TLS版本等应用层特征及流数量、流持续时间、端口等传输层特征，建立相关指纹库，并通过轻量型AI算法形成检测模型。

针对加密流量的数据特点，构建了针对性的网络扫描行为识别模型与暴力破解模型，以有效解决流量加密对此类攻击的绕过问题。

隐蔽信道检测

支持DNS、HTTP、ICMP三种隐蔽信道，用于检测木马、后门隐蔽通信行为。

DGA检测

支持通过深度学习算法来检测DGA访问，发现未知的木马通信。

动态域名

支持通过动态域名黑白名单的方式检测动态域名访问请求，以发现已知和未知木马通信行为，以及类似DNSLOG攻击行为。

异常心跳

通过定时统计算法，判断内网中是否存在异常心跳行为，以发现木马的定时通信请求。

4、暴力破解行为监测与识别

360 NDR能够通过时间、用户名、频次等维度对SMB、KRB5、SSH、RDP等常见内网登录协议暴力破解行为进行监测和识别。

5、WEB加密口令识别与破解检测

此外针对WEB加密口令的识别和破解检测，360NDR配套的分析平台也具备相关的识别能力，能够对WEB登录中的加密口令或者弱口令进行检测，并支持自定义算法。

此外，除以上专有加密场景检测模型，360NDR内置了强大木马通信指纹和通信指令库及300万+本地威胁情报库，依托360全网安全大脑赋能，能有效识别HTTP、TCP、UDP、DNS等协议中APT攻击、高级木马/远控、挖矿勒索软件、僵尸网络、黑客攻击、僵木蠕等远程控制软件加密通信行为。

加密流量攻击来势汹汹，360高级持续性威胁预警系统（NDR）将帮助更多的用户消除“加密流量威胁看不见”的安全风险，成为加密流量检测的法宝，对加密流量进行精细化的控制策略，绕过不需要检测的流量，保护用户和机构的隐私和合规性，实现“一招制敌，出奇制胜”。

来源：360数字安全