由中国网络安全产业联盟(CCIA)主办的“2021年网络安全优秀创新成果大赛”总决赛在国家网络安全宣传周期间举办,观成科技凭借创新产品“观成瞰云-加密威胁智能检测系统(ENS)”荣获一等奖。产品的技术创新性、领先性和实用性吸引了在座的专家评委及现场观众,其独创的“鱼骨图”加密流量检测设计更是点睛之笔。我们通过“鱼骨图”一起来探索观成瞰云-加密威胁智能检测系统(ENS)的独特之处。
观成瞰云-加密威胁智能检测系统(ENS)综合运用人工智能和行为检测、规则检测、指纹检测等安全检测技术,解决了恶意加密流量检测难题。但在早期产品应用过程中,因系统综合决策体系复杂、涉及因素繁多,也给检测结果的可解释性造成了一定挑战。如何将复杂的决策过程形象的进行体现,让用户能一眼看明白加密流量检测的因素、结果?观成科技经过不断的探索,最终形成了加密流量检测“鱼骨图”来解决上面的问题。
- “鱼骨图”介绍
“鱼骨图”用于呈现加密流量的报警情况,分为鱼尾、鱼刺及鱼头三部分。其中鱼尾部分用于呈现加密握手协商模型的检测结果;鱼刺部分用于呈现通信实体间(IP对)单次会话和多次会话的行为特征;鱼头由三部分组成,分别呈现背景流量、证书以及关联DNS等3个模型的检测结果。“鱼骨图”不同部分分别对应产品的各种检测模型、检测方法。每种检测模型的检测结果为0-1之间的预测值,数字越大表示异常等级越高。在“鱼骨图”中用不同的颜色表示异常的等级,分别是绿色(正常 得分小于0.5)、黄色(可疑 得分在0.5-0.7之间)、橙色(异常 得分在0.7-0.9之间)、红色(严重 得分大于0.9)。
除“鱼骨图”的图形本身之外,在鱼骨图上方的醒目位置,观成瞰云(ENS)将系统综合决策评分和威胁标签进行呈现,让用户对检测结果和威胁类型一目了然。在“鱼骨图”的左右两侧和下方,分别对加密握手协商、加密协议证书、单流和多流行为参数、DNS/HTTP等背景流量的关键参数进行展示,丰富的信息量有助于客户直接深入了解加密流量性质、类型。
- “鱼骨图”检测举例
观成瞰云(ENS)对不同的加密流量进行检测,在鱼骨图中会呈现不同的效果。我们简单列举以下几种类型:
1、正常加密流量检测结果
使用热门浏览器访问正常HTTPS网站流量的检测结果如上图所示。从图中分析,客户端、服务端、DNS、证书的检测评分都比较低,鱼头和鱼尾均显示绿色。单流和多流行为检测呈现一定的随机性,因此得分也比较低。最终系统决策结果评分0.31,威胁标签为空。
2、APT流量检测结果:响尾蛇
上图是“响尾蛇”APT组织加密检测结果。从图中可以看到,与正常加密流量相比,无论是客户端、服务端、证书还是DNS,观成瞰云(ENS)的各种模型得分均有显著提高,体现模型输出的鱼尾、鱼头部分也变成了橙色、红色。从鱼刺方面看,能看到典型的上下行载荷、包数相同的情况,这与正常上网浏览的行为存在显著不同,因此流量特征报警也给出了0.92的分数。经系统综合决策,最终评分为0.77,通过规则、行为的匹配分析,系统发现该流量为响尾蛇APT组织流量,并打上了相应的威胁标签。
3、APT流量检测结果:海莲花
除TLS加密流量外,观成瞰云(ENS)也支持对利用DNS等协议进行隐蔽隧道传输的恶意流量。上图是APT组织“海莲花”使用的木马家族“Denis”隧道流量检测结果。该木马利用DNS的A记录、NS记录进行心跳和信息回传,从“鱼骨图”中可清晰看出隐蔽隧道中的心跳行为。系统综合决策得分为0.97,威胁标签为Denis。
4、黑客工具检测结果:Cobalt Strike
Cobalt Strike是近年红队常用的渗透平台。上图是系统针对Cobalt Strike产生的TLS命令控制流量的检测结果。从图中分析,系统对该流量的握手协商、证书和单流、多流行为均进行了告警,综合评分为0.93,威胁标签为Cobalt Strike。
5、传统木马检测结果:Upatre
Upatre家族为第一阶段的木马家族,主要是下载木马进行第二阶段的攻击。一般下载者流量在“鱼骨图”整体上载荷不会太大,且下行流量大于上行。在图中可以看到,系统对Upatre的加密握手协商、证书的流行为进行了告警,综合得分为0.98,威胁标签为Upatre。
- 隐蔽隧道检测结果:DNS隧道
DNS隐蔽隧道黑客入侵、命令回传常用的方式之一。上图是利用Cobalt Strike搭建DNS隧道通信流量的检测结果。从上图分析,该流量利用DNS的A记录传输信息,在短时间内进行了大量DNS请求/响应交互,这一点在鱼刺部分的体现非常直观。最终系统综合AI、规则和行为检测结果,判定为Cobalt Strike产生的DNS隧道流量。
- “鱼骨图”的“大道至简”
观成瞰云(ENS)综合使用了人工智能多模型检测,辅之以规则检测、行为检测、指纹检测等传统检测方法,实现对恶意加密流量检测。虽然加密流量检测体系复杂、因素繁多,但是并没有影响观成瞰云(ENS)产品向用户阐述决策过程。我们相信智慧是认识事物本实这一道理,引导我们透过现象观察到事物本身的目的和内在的联系,坚持“用最简单的呈现解释最复杂的检测”的“大道至简”设计原则,用一张“鱼骨图”融合多个引擎检测、规则检测、行为检测结果,结合丰富的信息呈现,完美解决了加密流量检测结果可解释性的问题。
- 观成瞰云(ENS)简介
观成瞰云-加密威胁智能检测系统(ENS)是观成科技将人工智能与安全检测技术相结合的创新型安全产品,可针对恶意软件、黑客工具、非法应用等加密威胁进行有效检测。该产品为观成科技自主研发、具有完整的知识产权,解决了恶意加密流量检测难题,填补了市场和技术空白。
除了独创的“鱼骨图”加密流量检测吸引了大家的眼球,观成瞰云(ENS)的其他创新点也不容忽视:
1.细粒度加密流量特征工程构建技术;
- 恶意加密多流行为特征挖掘分析技术;
3.面向攻防演练常见下的黑客工具加密流量识别技术;
4.面向加密类高级威胁检测分析技术。
与此同时,观成瞰云(ENS)还具有使用加密通信的恶意软件检测、使用加密通信的黑客工具检测、使用加密通信的非法应用检测、未知和新型加密威胁检测等功能。