張志鵬-加密流量惡意軟件分析在金融場景的實踐（19頁）.pdf

《張志鵬-加密流量惡意軟件分析在金融場景的實踐（19頁）.pdf》由會員分享，可在線閱讀，更多相關《張志鵬-加密流量惡意軟件分析在金融場景的實踐（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、加密流量惡意軟件分析在金融場景的實踐張志鵬張志鵬斗象科技 高級安全顧問目錄安全概述加密流量的異常檢測多模型融合的惡意軟件分析PRS-NTA斗象&F5聯合解決方案概述-加密通信加密隱私數據:防止您訪客的隱私信息(賬號、地址、手機號等)被劫持或竊取。提高頁面加載速度:提高用戶體驗,防止客戶流失。安全身份認證:驗證網站的真實性,防止釣魚網站。防止網頁篡改:防止數據在傳輸過程中被篡改,保護用戶體驗。提升信任度:地址欄頭部的“鎖”型圖標使您的訪客放心瀏覽網頁,提高用戶信任度。-加密通信的作用-概述-雙刃劍HTTPS隧道攻擊者感染主機分析員數據塊數據塊惡意軟件數據塊概述-惡意軟件Malware這個單詞來自

2、于Malicious和Software兩個單詞的合成，是惡意軟件的專業術語。是植入你電腦中的惡意代碼，它可以完全控制、破壞你的PC、網絡以及所有數據。-來自百度百科Malware包含了以下幾個種類：*Computer Viruses計算機病毒*Computer Worms 計算機蠕蟲*Trojan Horses 特洛伊木馬*Logic Bombs 邏輯炸彈*Spyware 間諜軟件*Adware 廣告軟件*Spam 垃圾郵件*Popups 彈出 目前使用加密通信的惡意軟件家族超過200種，使用加密通信的惡意軟件占比超過40%，使用加密通信的惡意軟件幾乎覆蓋了所有常見類型，如：特洛伊木馬、勒索軟

3、件、感染式、蠕蟲病毒、下載器等，其中特洛伊木馬和下載器類的惡意軟件家族占比較高。概述-惡意軟件惡意軟件類型惡意軟件類型產生加密流量類型產生加密流量類型特洛伊木馬C&C直連、白站隱蔽中轉、檢測主機聯網環境、其他勒索軟件C&C直連感染式C&C直連、母體正常流量、其他蠕蟲病毒C&C直連、蠕蟲傳播下載器白站隱蔽中轉、其他其他C&C直連、廣告流量等 惡意軟件產生的加密流量，根據用途可以分為以下六類：C&C直連、檢測主機聯網環境、母體正常通信、白站隱蔽中轉、蠕蟲傳播通信、其它。惡意軟件在受害主機執行后，通過TLS等加密協議連接C&C（攻擊者控制端），這是最常見的直連通訊方式。C&C直連攻擊者將控制命令或攻

4、擊載荷隱藏在白站中，惡意軟件運行后，通過SSL協議訪問白站獲取相關惡意代碼或信息。白站隱蔽中轉部分惡意軟件在連接C&C服務器之前，會通過直接訪問互聯網網站的方式來檢測主機聯網情況，這些操作也會產生TLS加密流量。檢測主機聯網環境母體正常流量感染式病毒是將惡意代碼嵌入在可執行文件中，惡意代碼在運行母體程序時被觸發。母體被感染后產生的流量有母體應用本身聯網流量和惡意軟件產生的流量兩類。蠕蟲傳播蠕蟲具有自我復制、自我傳播的功能，一般利用漏洞、電子郵件等途徑進行傳播。加密流量與惡意軟件有什么關系？由惡意軟件生成的加密流量加密流量中攜帶了惡意軟件那么斗象科技用什么的方式去解決加密流量中惡意軟件的檢測呢？

5、課題研究的方法論樣本采集特征工程模型構建產品工程HTTPS的深度包解析SSL協議日志協議日志 描述了SSL/TLS握手和加密連接建立過程。有SSL/TLS版本、使用的密碼、服務器名稱、證書路徑、主題、證書發行者等等。證書日志證書日志 在日志中的每一行都是一個證書記錄，描述證書信息，如證書序列號、常用名稱、時間有效性、主題、簽名算法、以位為單位的密鑰長度等 通過流量包深度解析方式提取HTTPS流量中的足夠信息日志，包括連接通信日志、SSL協議日志、證書日志三部分連接連接通信日志通信日志 每一行聚合一組數據包，并描述兩個端點之間的連接。連接記錄包含IP地址、端口、協議、連接狀態、數據包數量、標簽等

6、信息?；谶B接4元組的特征識別連接4元組是一組SSL聚合和一些單獨的連接記錄。它們都共享源IP、目標IP、目標端口和協議的4元組。這個4元組是每個連接4元組的唯一鍵連接4元組SSL聚合SSL聚合是3類數據的串聯，SSL聚合僅包含一對連接記錄和一個SSL記錄，SSL記錄是否具有證書路徑取決于許多因素，例如，SSL握手是否成功等。意義？每個連接4元組總結了惡意軟件連接到C&C服務器的行為，或者在大多數情況下普通用戶連接到普通網站的行為。數據集CTU-13數據集是2011年在捷克共和國CTU大學捕獲的。CTU-13數據集由在真實網絡環境中捕獲的13個不同的惡意軟件組成。捕獲包括惡意軟件，正常和后臺流

7、量，但我們只是使用正常和惡意軟件。數據集的正常部分是使用運行在虛擬機上的Windows 7捕獲的。正常流量使用未知的web瀏覽器，惡意軟件可能使用自己的庫與Internet通信。該數據集的作者是Sebastian Garcia,Martin Grill,Honza Stiborek和Alejandro Zunino，他們對僵尸網絡檢測方法項目進行了實證比較.CTU-13MCFP dataset有來自Stratosphere Malware Capture Facility項目的數據集，由Maria Jose Erquiaga完成。她通過選擇使用HTTPS的惡意軟件生成這些捕獲。該數據集由53個

8、惡意軟件捕獲和6個正常捕獲組成。從2015年到2017年，在運行于虛擬機上的Windows 7上使用ie瀏覽器，在運行于Linux Debian上的Chrome瀏覽器上使用谷歌瀏覽器，都可以捕捉到正常的數據。My own normal dataset由于缺乏正常的數據，我們不得不創建更多的正常捕獲。方法是瀏覽普通的網站，如facebook、twitter、gmail等。其中大多數我們都有賬戶，并進行了一段時間的互動。我們還使用了一個來自M的網站列表，其中包含了前500個注冊域名，以及來自的前700個網站，這些網站是美國人訪問最多的網站。數據集的這一部分包含13個普通捕獲。2017年4月，運行在

9、虛擬機上的Windows 7上的Mozilla瀏覽器和運行在Kali Linux上的Iceweasel瀏覽器分別管理了這次捕獲。特征識別（1）聚合和連接記錄的數量。（2）持續時間均值。（3）持續時間標準差。（4）超出標準差范圍的持續時間占比。（5）總發送包大小。（1）連接記錄中ssl連接的占比。（2）TLS與SSL的比值。（3）SNI占比。（4）SNI is IP。（1）公鑰均值。（2）證書有效期的平均值。（3）證書有效期的標準差。（4）捕獲期間證書周期的有效性。連接連接通信日志通信日志SSL協議日志協議日志證書日志證書日志提取40余個特征，對于這些特征，我們將它們分為3組：連接特征、SSL特

10、征、證書特征。連接特征是來自連接記錄的特征，描述與證書和加密無關的通信流的常見行為。SSL特征是來自SSL記錄的特征，描述了SSL握手和加密通信的信息。證書特征是來自證書記錄的特性，描述了web服務人員在SSL握手期間提供給我們的證書的信息。測試結果數據繪圖隨機森林是一個包含多個決策樹的分類器，并且其輸出的類別是由個別樹輸出的類別的眾數而定。隨機森林XGboostXGBoost全名叫（eXtreme Gradient Boosting）極端梯度提升，經常被用在一些比賽中，其效果顯著。它是大規模并行boosted tree的工具經過數據清洗和過濾后，最終得到正樣本46949條，負樣本45121條

11、。模型模型隨機森林隨機森林XGBoostXGBoost準確率98.61%96.54%多模型融合檢測威脅情報、動態行為分析、靜態特征分析、信譽度模型案例：基于API序列調用的惡意軟件檢測經過沙箱程序模擬運行后的API指令序列數據源模型模型統計機器學習模型統計機器學習模型CNNCNNNLPNLP準確率0.988380.945620.897實驗結果基于NLP 的文本詞袋模型檢測 基于統計機器學習模型基于文本序列的深度學習檢測多級融合計解決方案情報系數沙箱系數敏感API敏感字符串敏感域名/IP服務信息注冊表信息執行操作 DisableCMDAutoRunDisableAllDrivers信譽模型加權計算靜態特征模型動態API模型沙箱行為特征Final Score加權計算demo