警匪片中常?？煽吹剑坏┚熘谢爝M(jìn)了臥底，壞人作案就容易了。而作為抵御網(wǎng)絡(luò)攻擊的手段，加密一直是公認(rèn)的防御武器。不過在近期發(fā)布的2018年安全報(bào)告中卻暴露出加密在網(wǎng)絡(luò)防御中日益凸顯的漏洞，那就是“加密”也會(huì)被攻擊者所利用突破安檢進(jìn)行“潛伏”。

[[232730]]

找出加密傳輸中的“壞蛋”

現(xiàn)階段越來越多的重要網(wǎng)站包括政府、金融、醫(yī)療等機(jī)構(gòu)，紛紛開始采用加密傳輸來提升網(wǎng)站通信的防護(hù)能力。利用加密傳輸協(xié)議，將傳統(tǒng)以明文方式發(fā)送的通訊內(nèi)容進(jìn)行加密，來確保用戶端與服務(wù)器之間收發(fā)的信息傳輸更加安全。

據(jù)統(tǒng)計(jì)，2017年年初整個(gè)互聯(lián)網(wǎng)有超過一半的網(wǎng)絡(luò)流量都是加密的，到2017年7月份加密流量的占比更達(dá)到了60%。

然而事實(shí)上，伴隨企業(yè)和用戶不斷提升安全防護(hù)策略，網(wǎng)絡(luò)攻擊者也快速變化進(jìn)攻手法。一些不法黑客已開始利用加密傳輸?shù)拇筅厔?，將惡意流量隱藏于整個(gè)加密傳輸流中，讓傳統(tǒng)的入侵防御系統(tǒng)和下一代防火墻檢測手段失效。

傳統(tǒng)檢測拿加密流量沒轍

由于加密數(shù)據(jù)包在傳輸過程中處于加密狀態(tài)，而整個(gè)加密節(jié)點(diǎn)直到解密后才能知道具體加密的是什么，這就導(dǎo)致傳統(tǒng)的流量檢測方式失去效力，急需一套更加可靠的流量可視化防御方式才行。

而所帶來的后果是，面對摻雜其中的惡意加密代碼，企業(yè)網(wǎng)站防護(hù)體系很容易被逐步拖垮。因?yàn)榘嘿F的安全防護(hù)設(shè)備將有限的計(jì)算資源都消耗在解密安全數(shù)據(jù)包以及對等內(nèi)容上了，過載的防護(hù)硬件設(shè)備就可能會(huì)引發(fā)數(shù)據(jù)的丟包甚至宕機(jī)。

更可怕的是此種態(tài)勢有進(jìn)一步惡化的局面。有國際調(diào)研機(jī)構(gòu)曾預(yù)測，2019年60%的惡意軟件活動(dòng)都會(huì)進(jìn)行加密，而到2020年70%的惡意攻擊都將以加密的數(shù)據(jù)流形式出現(xiàn)。

利用AI檢測惡意加密流量

因此面對上述情況，如何將惡意的加密流量“看透”，做好傳輸數(shù)據(jù)的可視化分析就顯得日益重要了。

鑒于強(qiáng)行分析加密數(shù)據(jù)往往會(huì)破壞所傳輸?shù)拇a甚至影響相應(yīng)應(yīng)用程序的功能，同時(shí)進(jìn)一步限制了加密流量分析工具使用和實(shí)施，更為入侵者潛伏在公司網(wǎng)絡(luò)上以解密形式竊取數(shù)據(jù)創(chuàng)造了可行機(jī)會(huì)。

不過，伴隨高級人工智能分析時(shí)代的開啟，基于檢測加密流量而不損害其加密完整性的侵入式“智能”手法逐步被認(rèn)可?，F(xiàn)在一種基于意圖的加密流量分析工具已被思科推出來，其可通過使用機(jī)器學(xué)習(xí)來分析連接的初始數(shù)據(jù)包、數(shù)據(jù)包長度和時(shí)間順序以及字節(jié)分布等等，能夠有效提升對惡意加密流量的可視化操作。

[[232731]]

由此看出

隨著網(wǎng)絡(luò)攻擊變化，在應(yīng)對加密流量時(shí)防護(hù)者更應(yīng)該關(guān)注在網(wǎng)絡(luò)體系中檢測機(jī)制與可視化能力的構(gòu)建，真正防止那些隱藏在加密流量中的威脅。而在這個(gè)過程中，除了鑒于存在時(shí)長等特性而提升短暫密鑰(如使用TLS 1.3協(xié)議的密鑰)信任度外，通過NPB(網(wǎng)絡(luò)數(shù)據(jù)包代理)將解密資源集中到甄別那些傳統(tǒng)的、靜態(tài)的，如SSL中使用的加密密鑰(因?yàn)槠湓诤艽蟪潭壬弦呀?jīng)不再受瀏覽器和主要網(wǎng)站青睞)上也會(huì)是一種有效的過濾方法。