Gartner 加密流量分析 HTTPS 惡意程式 機器學習 加密

新技術分析加密流量 免解密就能揪出潛伏威脅

2017-09-29
加密不只能保護線上資料,也會為惡意程式碼提供藏身之處。偵測這些有害的威脅一向都是惱人的難題,直到現在才有解決之道。借助機器學習找出加密資料中能揭露真相的三種特徵。
加密是維護穩私的珍貴盟友,它能讓企業資料安全無虞,免受外界窺探,還能阻止他人竊取信用卡資料或App使用習慣,以及密碼。顯然地,加密的重要性無可復加,根據近期發表的報告指出,今年2月,全球半數的線上流量都經過加密。對於某些種類的流量而言,加密已經是法律規定的必要程序。Gartner認為,到了2019年,80%以上的企業網站都會經過加密。雖然這對擔心隱私的人而言是個好消息,但許多IT團隊將面臨極龐大的流量,因為他們需要解密技術才能夠檢視流量內容。

這意謂著加密有如雙面刃,壞人亦可利用它們。加密不僅能藏住秘密,也能藏匿惡意程式碼。這形同在IT主管面前打開蓋子倒出一整罐網路蠕蟲(以及木馬程式和病毒)。Gartner預測到了2019年,半數的惡意程式碼攻擊將採用某種類型的加密機制來藏匿散佈病毒、指揮控制行動或竊取資料。

撰寫惡意程式碼的人士不但知道這點,還充分利用這項缺失。Gartner表示:「隨著HTTPS協定逐漸取代HTTP,我們將會更常看到惡意程式碼開始透過加密網站進行散佈。」

加密讓威脅得以遁形

媒體公司Racing Post資安經理Alan Cain指出:「像臉書、推特、LinkedIn這類網站都採用SSL協定,但過去仍然成為包括likejacking、惡意程式碼散佈、資料外洩及垃圾郵件等攻擊的受害者。因為80%的安全系統無法辨識或防範藏匿在SSL流量內的威脅,導致藏身於加密流量內的惡意程式碼成為業界當前最大的威脅。」

因此,Gartner認為到了2020年將有60%的組織無法有效率地對HTTPS協定的流量進行解密,更令其「無法找出最需鎖定的網站惡意程式碼」。屆時超過70%的Web惡意程式碼都會夾帶於加密流量中,然而隨著加密系統的支援逐漸力不從心,對抗這些威脅的手段也會趨於式微。即使是規模最龐大的IT團隊也無法承受這類問題衍生的後果。

直到現在為止,處理這個問題最常見的作法是對流量進行解密,然後運用像新一代防火牆這類設備來檢查流量內容。然而這種流程不僅極為費時,還必須在網路中加裝設備。隨著威脅形態不斷演變,很顯然地,整合安全機制到網路中將有助於偵測所有種類的威脅,包括藏匿在加密流量中的威脅。

然而,究竟該如何對抗看不到的威脅?思科的專家們認為應該從威脅的「影子」著手。

運用加密流量分析偵測各種威脅

雖然無法看到加密流量的內容,思科公司技術主管Blake Anderson和進階安全研究事業群院士David McGrew找到一種獨特方法,藉由觀察各種線索推測出藏匿其中的威脅。

Anderson與McGrew在去年10月發表名為《根據前後流量資料辨識出有惡意程式碼潛伏其中的加密流量》 專文指出「識別出藏匿在加密網路流量中的威脅,衍生出許多獨特的挑戰」。


▲ 80%的安全系統無法辨識或防範藏匿在SSL流量內的威脅,導致藏身於加密流量內的惡意程式碼成為業界當前最大的威脅。

他們表示,監視這類流量找出威脅與惡意程式碼是優先要務,但同時必須維持加密的完整性。他們一起研發的監督機器學習模型,利用了獨特且多元化的網路流量資料功能,包含TLS交握元資料、鏈結至加密流量的DNS前後流量(Contextual Flows),以及在5分鐘內由同一IP位址來源發出HTTP前後流量的HTTP封包標頭。

研究人員針對數以百萬的特殊流量,研究內含惡意內容的流量以及採用TLS、DNS以及HTTP等協定的流量這兩者之間的差異,然後找出最有可能反映出惡意程式碼的特徵。這個流程經過真實數據的測試,確保不會出現誤報狀況,最終產生的技巧名為「加密流量分析(ETA)」,該技術包含尋找加密資料中能揭露真相的三種特徵。

第一個是連結時的初始資料封包,該封包本身含有關於其餘內容的寶貴資料。再來則是封包長度與時間,它們揭露了加密流量起始點之後流量內容的重要線索。最後,ETA會檢查受分析流量中封包負載的位元組分佈。由於這類的網路化偵測流程會借助機器學習提供輔助,因此其效率會隨著時間改善。

機器學習 辨識潛伏威脅

今年6月思科推出加密流量分析功能,結合新款Catalyst 9000交換器與Cisco 4000系列整合式服務路由器強化型NetFlow,搭配思科Stealthwatch的進階安全分析方案。簡單地說,這些設備會視狀況將所有通過全球思科設備的全部流量饋送到一部規模龐大的威脅偵測系統,該系統能隨時隨地偵測,並且擋下各種威脅。

思科公司企業網路、物聯網、開發者平台部門行銷副總裁Prashanth Shenoy指出,這就像看到有人在吵架,雖然聽不到他們說什麼,但也能從手勢和表情判斷出發生什麼狀況。配合Stealthwatch運作的思科網路不僅能阻絕潛伏在加密流量中的惡意程式碼,還能協助用戶遵循譯密方面的法律規範,像是揭露違反傳輸層安全協議的事件、公開加密套件(Cipher Suite)的防禦漏洞,以及持續監視網路的透明度。

這表示網路能偵測出各種威脅,協助克服網路上加密流量衍生出的關鍵挑戰。而思科運用機器學習來分析元數據流量的規律,即使是經過加密的流量,也能辨識出潛伏其中的各種威脅,而且不必進行解密。

<本文作者馮志良為思科台灣技術長。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!