1、華為智簡園區加密通信分析（ECA）技術白皮書 華為智簡園區加密通信分析技術白皮書 摘 要 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 ii 摘摘 要要 Gartner 認為，2019 年將有一半的惡意軟件活動采用某種加密技術來掩蓋惡意軟件傳送命令和控制活動或數據泄露。ECA(Encrypted Communication Analytics)加密通信檢測技術應運而生，此技術不需要解密加密流量，基于加密流量之前的握手信息，加密流量的統計信息，以及加密流量的背景流量信息，利用機器學習算法訓練模型，對正常加密流量和惡意加密流量進行分類和識別。本文詳細介紹 ECA 檢測的基本

2、工作原理和典型應用。 華為智簡園區加密通信分析技術白皮書 目 錄 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 iii 目目 錄錄 摘摘 要要 . ii1 概述概述 . 11.1 產生背景 . 1 1.2 解決思路 . 1 1.3 客戶價值 . 2 1.4 可獲得性 . 2 2 實現原理實現原理 . 32.1 方案架構 . 3 2.2 方案實現 . 4 2.3 樣本數據 . 4 2.3.1 白樣本 . 4 2.3.2 黑樣本 .5 2.4 特性分析 .5 2.4.1 加密流量異常行為關聯 .5 2.4.2 上下文流量信息關聯 .5 2.4.3 樣本數據分析 . 6 2.

3、4.4 機器學習 . 6 2.5 數據特征 . 6 2.5.1 TLS 握手信息特征 . 7 2.5.2 TCP 統計特征 . 9 2.5.3 DNS 信息特征 . 10 2.5.4 HTTP 信息特征（可選） . 11 2.6 CIS 系統原理 . 11 2.6.1 大數據采集原理 . 12 2.6.2 大數據分析原理 . 13 3 典型場景典型場景 . 14華為智簡園區加密通信分析技術白皮書 目 錄 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 iv 3.1 場景描述 . 14 3.2 部署說明 . 14 3.3 典型配置 . 15 A 縮略語縮略語 . 17華為智

4、簡園區加密通信分析技術白皮書 1 概述 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 1 1 1概述概述 1.1 產生背景 伴隨著逐漸實現數字化轉型的腳步，企業為了保護數據和應用服務的安全，開始大量采用加密技術。例如，使用 HTTPS 服務代替傳統的 HTTP。Gartner 預測，到 2019 年，80 的 Web 流量將實現加密。與此同時，黑客們同樣可以利用加密技術將其推送的惡意軟件、欲傳達的惡意命令都藏匿于加密流量當中，規避檢測，確保惡意活動能夠正常實施。Gartner 認為，2019 年將有一半的惡意軟件活動采用某種加密技術來掩蓋惡意軟件傳送命令和控制活動或數據

5、泄露；華為敏捷智簡園區也面臨同樣的威脅。 當前針對加密流量進行檢測的解決方案主要是利用中間人的技術對流量解密，分析其中的行為和內容，再次加密發送。但這樣的解決方案存在一定局限性： 加密技術旨在解決數據的隱私性，利用中間人解密則破壞了了這個初衷，同時在通道完整性等方面也存在風險；如果加密流量持續增加，解密會消耗大量資源，同時也會造成現有網絡性能的下降。 如何識別加密威脅？ 1.2 解決思路 盡管無法嗅探加密流量的內容，但通過對于加密流量的分析和研究，正常的加密流量和惡意的加密流量無論是在客戶端，還是在服務端，包括數據包上的時序關系方面仍然存在著很多差別。例如，正常的加密流量通常會采用比較新和比較

6、強的加密算法和參數；而惡意的加密流量通常會采用比較老和比較弱的加密算法和參數。將諸如此類的有區分度的特征提取出來，利用機器學習算法訓練模型，然后就可以用模型對正常加密流量和惡意加密流量進行分類。 ECA(Encrypted Communication Analytics)加密通信檢測技術應運而生，此技術不需要解密加密流量，基于加密流量之前的握手信息，加密流量的統計信息，以及加密流量的華為智簡園區加密通信分析技術白皮書 1 概述 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 2 背景流量信息，利用機器學習算法訓練模型，然后就可以用模型對正常加密流量和惡意加密流量進行分類和

7、識別。 1.3 客戶價值 防未知加密威脅攻擊 在不破壞數據完整性的前提下，快速幫助客戶發現加密流量中潛伏的惡意 C&C 通信，從而及時進行處置處理。 1.4 可獲得性 產品 最低支持版本 CIS V100R003C30 LSW(S5720HI/S5730HI/S6720HI) V200R013C00 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 3 2 2 實現原理實現原理 2.1 方案架構 華為 CIS 通過對加密流量的握手信息，數據包的時序關系，流的統計信息，加密流量的背景流量信息進行特征抽取，并基于關鍵特征采用機器

8、學習的方式進行建模，然后就可以用模型對正常加密流量和惡意加密流量進行分類，能夠有效的檢測出惡意加密流量 整個 ECA 檢測方案分為前端 ECA 探針和后端 ECA 分析系統（集成在 CIS 系統中） 。ECA 探針主要負責加密流量的特征提取，對特征進行編碼后，送入 CIS ECA 分析模型進行判定。后端 ECA 分析系統集成在 CIS 系統中，結合自研的檢測模型檢測發現惡意加密流量。當前敏捷園區場景中前端 ECA 探針的形態有兩種：流探針形態，園區交換機內置 ECA 探針。 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司

9、4 2.2 方案實現 整個 ECA 工作分為 3 大部分： 1.首先安全研究人員通過獲取的黑白樣本集，結合查詢開源信息，域名、IP、SSL 等的信息，進行特征信息提??；通過對黑白樣本的客戶端簽名和服務器證書的簽名進行分析；基于上述分析取證的特征向量，采用機器學習的方法，利用樣本數據進行訓練，從而生成分類器模型。這就形成?CIS 最核心的?ECA 檢測分類模型 2.通過前端?ECA 探針提取網絡流量中加密流量的特征數據，包括?TLS 握手信息，TCP統計信息，DNS/HTTP 相關信息，統一上報給?CIS 系統。 3.CIS 結合自身的大數據關聯分析能力，對探針上送的各類特征數據進行處理， 利用

10、ECA 檢測分類模型識別加密流量中的異常?C&C 連接，從而發現僵尸主機或者?APT攻擊在命令控制階段的異常行為 2.3 樣本數據 對訓練、測試集分別統計以下特性，用來評估樣本的典型性、代表性。 2.3.1 白樣本 瀏覽器客戶端在樣本中的比例 各種常見瀏覽器及版本：Firefox, chrome, safari, opera, ie(edge), sougou, qq, liebao, 360 中國 TopN 站點 服務端口分布 服務端證書 TLS 版本分布 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 5 TLS 參數

11、:加密套件與壓縮算法等 自簽名樣本比例 客戶端、服務器雙向認證比例 2.3.2 黑樣本 惡意樣本的家族（指定 AV 反病毒引擎給定的家族名稱及無家族）及數據量 客戶端、服務器雙向認證比例 惡意樣本訪問正常網站比例 服務端口分布 IP 分布 TLS 版本分布 TLS 參數 客戶端 TLS 庫種類及分布 自簽名樣本比例 2.4 特性分析 2.4.1 加密流量異常行為關聯 惡意軟件的網絡行為中，除了加密的流量異常外，還可能存在其他的異常行為，這些異常行為可能被其他檢測引擎檢測到，對一個客戶端源 IP，例如，是否檢測到惡意文件、DGA 域名請求、IPS 檢測的異常、掃描行為等。需要 CIS 進行異常事

12、件關聯分析。 2.4.2 上下文流量信息關聯 惡意軟件的網絡行為中，除了 HTTPS 的流量，還包含 DNS 查詢的流量，HTTP 請求的流量等，關聯相同源 IP 在加密流量的上下文的流量，分析這些沒有加密的流量，看是否能找到一些線索。 一個客戶端源 IP 發送的請求數量非常多，大部分請求是正常的網絡行為，怎么快速找到可疑的流量進行分析是取證的一個難點。主要關注 HTTP 和 DNS 請求。針對 DNS，主要用途是獲得 IP 地址，還有可能進行敏感數據外傳。為了獲取 IP 地址，惡意軟件可能使用 DGA 域名、動態域名、IP 直連的方式，在獲取到 IP 地址之后存在后續的請求；敏感數據外傳的場

13、景下，有大量的 DNS 請求但后續沒有操作；針對 HTTP，可能下載一些惡意腳本、其他的惡意軟件，與 C&C 服務器通信獲取控制命令、敏感數據外傳等。 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 6 需要針對當前黑樣本集中加密流量的上下文的 DNS 和 HTTP 流量進行分析，得到一些惡意流量的特點，幫助過濾一些可疑的流量。例如下載惡意軟件的 HTTP 流，響應字節數/請求字節數比較大；敏感數據外傳響應字節數/請求字節數比較??；被感染主機上線發送的請求包，響應的數據包可能在頭部信息多，響應體的內容為空；可疑的 User

14、-Agent；可疑的頁面跳轉（根據 HTTP 的 Reference）等。 2.4.3 樣本數據分析 針對簽名，分析簽名命中的黑白樣本的數量，如果簽名存在誤報，分析是否可以修改簽名字段來提高簽名的精度，如果不能，則考慮刪除該條簽名。簽名要保證準確性。 機器學習上報的惡意流量，找到黑樣本中相似的樣本（度量相似的方式可以有多種，例如歐式距離、其他距離、基于決策樹相同的葉子等） ，分析這些樣本的特征和上報樣本的特征的相同和不同的地方。 現有黑白樣本的客戶端簽名和服務器證書的簽名，統計每條簽名對應的黑白樣本數量，作為該簽名的描述信息，如果一條流量的客戶端簽名和服務器證書簽名與已有簽名相同，可以作為輔助

15、手段判斷，命中黑樣本數量明顯高于白樣本，是惡意的可能性高。除了這兩個簽名，可以新增其他的區分黑白樣本的字段或者考慮在當前簽名中新增一些字段。 輔助的手段：黑樣本加密流量的分析，不同家族的樣本的流量是否有區別，不同階段（下載、C&C、數據外傳等）的流量的差別，嘗試能夠從流量特征得出家族和攻擊的階段信息。 2.4.4 機器學習 機器學習算法的選擇上，主要是從樣本量需求，樣本處理工作量，模型準確度要求，模型訓練周期，模型調優工作量，以及模型占用資源的可控程度幾個維度來考慮，最終選擇業界成熟的隨機森林（RF）算法，利用樣本數據進行訓練，從而生成分類器模型。 2.5 數據特征 本方案主要使用了四大類數據

16、特征，如下： TCP 流相關的統計特征 TLS 流的握手信息特征 TLS 流目的 IP 關聯 DNS 信息特征 TLS 流源 IP 關聯的 HTTP 信息特征 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 7 2.5.1 TLS 握手信息特征 一條完整的 TLS 握手信息至少應包含 ClientHello 消息，ServerHello 消息，客戶端到服務端的 ChangeCipherSpec 消息，服務端到客戶端的 ChangeCipherSpec 消息。 如上圖所示，TLS 握手的第一步是客戶端向服務端發送 Clien

17、tHello 消息，這個消息里包含了客戶端支持的加密套件（Cipher Suites）列表以及客戶端支持的 extensions 列表。 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 8 TLS 握手第二步是服務器端向客戶端發送 ServerHello 消息，這個消息會從 ClientHello傳過來的 Support CipherSuites 里確定一份加密套件以及服務器端選擇的 extension 的列表。 TLS 握手過程中，服務器端會通過 Certificate 消息將自己的證書下發給客戶端，讓客戶端驗證自己的身

18、份。證書中可提取的特征包括證書有效期、SAN 數量、證書鏈長度等信息。 TLS 握手的第三步為客戶端發送 ClientKeyExchange，client 拿到 server 的 certificate后，就開始利用 certificate 里的 public key 進行 session key 的交換了，本消息一經是加密的，因此不進行報文特征提取。 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 9 基于如上描述，TLS 握手信息中提取的字段數據如下： 1 CipherSuites TLS 客戶端支持加密套件列表 2

19、Selected TLS 服務器端選擇的加密套件 3 Client_Extension TLS 客戶端支持的 extension 列表 4 Server_Extension TLS 服務器端選擇的 extension 列表 5 Client_Key_Exchange_Len TLS 握手過程中 ClientKeyExchange 消息的負載長度 6 Server_Key_Exchange_Len TLS 握手過程中 ServerKeyExchange 消息的負載長度 7 Cert_Duration 服務器葉證書的有效期(單位天) 8 Self_Signed 服務器葉證書是否為自簽名證書 9 S

20、AN 服務器葉證書中的 SAN 數量 10 Cert_Nums 服務器證書鏈中的證書數量 11 isCA 服務器葉證書是否自稱為 CA 證書 2.5.2 TCP 統計特征 一條完整的 TCP 流，從建流到流結束，除了五元組（目的 IP 地址、源 IP 地址、目的端口號、源端口號、協議號）信息外，還可以提取整條流的持續時間，這條流的包間隔，包長度分布等。TCP 統計特征中提取的字段數據如下： 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 10 1 Duration TCP 流的持續時間，時間單位毫秒 2 src_packe

21、ts (max,min,mean,std) TCP 連接過程中發送的所有有負載(最多 150)的包的最大負載長度，最小負載長度，平均值和標準差 3 src_times (max,min,mean,std) TCP 連接過程中發送的所有有負載的包的間隔時間(毫秒)的最大值，最小值，平均值，標準差 4 dst_packets (max,min,mean,std) TCP 連接過程中接收的所有有負載的包的最大負載長度，最小負載長度，平均值和標準差 5 dst_times (max,min,mean,std) TCP 連接過程中接收的所有有負載的包的間隔時間的最大值，最小值，平均值，標準差 6 Byt

22、es.src TCP 連接過程中發送的總字節數 7 Num.src TCP 連接過程中發送的總包數 8 Bytes.dst TCP 連接過程中接收的總字節數 9 Num.dst TCP 連接過程中接收的總包數 10 BD TCP 負載中的字節分布情況，詳細描述 11 Packet_state TCP 連接過程中有負載的前 20 個包的包長轉移概率矩陣 12 Time_state TCP 連接過程中有負載的前 20 個包的間隔時間轉移概率矩陣 2.5.3 DNS 信息特征 根據 TCP 連接中服務端的 IP，和 DNS 查詢中的 IP 查詢結果進行匹配，可查詢到目的IP 對應的域名，發送給大數據

23、平臺進行知名網站的匹配。 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 11 1 Suffix 目的 IP 關聯的域名后綴 2 TTL 目的 IP 關聯的域名的生存時間 3 domain_num_count 目的 IP 關聯的域名中數字的個數 4 domain_nonAlpha 目的 IP 關聯的域名中符號的個數 5 domain_len 目的 IP 關聯的域名長度 6 ip_address_count 目的 IP 關聯的 DNS Response 消息中返回的 IP 數量 7 DNS_Alexa 目的 IP 關聯的域名

24、在 Alex 中的排序 2.5.4 HTTP 信息特征（可選） 對于要檢測的 TLS 鏈接，尋找該條流開始時間在 TLS 結束前五分鐘內的 http 報文，如果兩者發送方 IP 地址相同，則將這部分 HTTP 作為關聯數據。 1 User_Agent 源 IP 關聯的 HTTPRequest 消息中的 User_Agent 字段 2 Client_Content_Type 源 IP 關聯的 HTTPRequest 消息中的 content_type 字段 3 Server 源 IP 關聯的 HTTPResponse 消息中的 server 字段 4 Server_Content_Type 源

25、IP 關聯的 HTTPResponse 消息中的 content_type 字段 2.6 CIS 系統原理 CIS采用大數據分析方法檢測威脅，能準確的識別和防御?APT 攻擊，有效避免?APT 攻擊造成用戶核心信息資產損失。CIS 的整體工作原理及流程如下 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 12 包含數據采集。數據處理、威脅檢測、威脅呈現等多個功能模塊。在 ECA 檢測功能中，主要涉及數據采集、威脅分析檢測。 2.6.1 大數據采集原理 數據采集原理 數據采集包括日志采集和原始流量采集，日志采集器負責日志采集

26、，流探針負責原始流量采集。日志采集流程包括日志接收、日志分類、日志格式化和日志轉發。流量采集流程包括流量采集、協議解析、文件還原和流量元數據上報。 數據預處理原理 數據預處理負責對采集器上報的歸一化日志和流探針上報的流量元數據進行格式化處理，補充相關的上下文信息（包括用戶、地理位置和區域） ，并將格式化后的數據發布到分布式總線。 分布式存儲原理 分布式存儲負責對格式化后的數據進行存儲，針對不同類型的異構數據（歸一化日志、流量元數據、PCAP 文件）進行分類存儲，分布式存儲的數據主要用于威脅檢測和威脅可視化?？紤]到可靠性和高并發性能的要求，分布式存儲的數據保存在多個檢測/存儲節點，并且可以按需擴

27、展存儲節點。 分布式索引原理 分布式索引負責對關鍵的格式化數據建立索引，為可視化調查分析提供基于關鍵字的快速檢索服務。分布式索引采用了多實例自適應的索引技術和時間片抽取的分層索引結構，索引數據保存在多個檢測/存儲節點，提供了高可靠性和高并發索引能力，支持按需彈性擴展索引。 華為智簡園區加密通信分析技術白皮書 2 實現原理 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 13 2.6.2 大數據分析原理 事件關聯分析原理 關聯分析主要通過挖掘事件之間的關聯和時序關系，從而發現有效的攻擊。關聯分析采用了高性能的流計算引擎，關聯分析引擎直接從分布式消息總線上獲取歸一化日志裝入內

28、存，并根據系統加載的關聯規則進行在線分析。 系統預置了一部分關聯分析規則，用戶也可以自定義關聯分析規則。當多條日志匹配了某一關聯規則，則認為它們之間存在對應的關聯關系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。 WEB 異常檢測原理 WEB 異常檢測主要用于檢測通過 WEB 進行的滲透和異常通信，從歷史數據中提取HTTP 流量元數據，通過分析 HTTP 協議中的 URL、User-Agent、Refer 和上傳/下載的文件 MD5 等信息，并結合沙箱文件檢測結果，離線挖掘和檢測下載惡意文件、訪問不常見網站和非瀏覽器流量等異常。 C&C 異常檢測 C&C 異常檢測主要通過對協議流量

29、（DNS/HTTP/TLS/3,4 層協議）的分析檢測 C&C 通信異常。 基于 DNS 流量的 C&C 異常檢測采用機器學習的方法，利用樣本數據進行訓練，從而生成分類器模型，并在客戶環境利用分類器模型識別訪問 DGA 域名的異常通信，從而發現僵尸主機或者 APT 攻擊在命令控制階段的異常行為。 基于 3,4 層流量協議的 C&C 異常檢測根據 CC 通訊的信息流與正常通訊時的信息流區別，分析 CC 木馬程序與外部通訊的信息的特點，區分與正常信息流的差異，通過流量檢測發現網絡中所存在的 CC 通訊信息流。 對于基于 HTTP 流量的 C&C 異常檢測采用統計分析的方法，記錄內網主機訪問同一個目

30、的 IP+域名的所有流量中每一次連接的時間點，并根據時間點計算每一次連接的時間間隔，定時檢查每一次的時間間隔是否有變化，從而發現內網主機周期外聯的異常行為 威脅判定原理 威脅判定根據多個異常進行關聯、評估和判定產生高級威脅，為威脅監控和攻擊鏈路可視化提供數據。威脅判定按照攻擊鏈的階段標識/分類各種異常，并以異常發生的時間為準，通過主機 IP、文件 MD5 和 URL 建立異常的時序和關聯關系，根據預定義的行為判定模式判定是否高級威脅，同時根據相關聯的異常的嚴重程度、影響范圍、可信度進行打分和評估，從而產生威脅事件。 華為智簡園區加密通信分析技術白皮書 3 典型場景 文檔版本 01 (2019-

31、03-16) 版權所有 華為技術有限公司 14 3 3 典型典型場景場景 在原有敏捷園區安全協防的基礎上，增加 ECA 檢測功能，通過流探針或交換機內置ECA 實現對加密流量的關鍵特征提取，配合 CIS 的 ECA 檢測算法，發現加密流量中的惡意通信。 3.1 場景描述 敏捷園區場景 由于 ECA 檢測當前主要針對南北向出口流量，所以一般 ECA 探針主要部署在總部出口或數據中心出口，提取加密流量特征； CIS 系統（ECA 分析檢測）作為威脅檢測平臺部署在總部的管理區； 3.2 部署說明 1、由于 ECA 探針存在多種形態，需要根據客戶現網實際情況，選擇不同的探針形態。一般實際使用場景中，客

32、戶除了 ECA 功能還會有其他高級威脅檢測的訴求，譬如C&C，DGA，態勢感知等，實際項目中需要結合客戶具體場景、需求、預算等統籌分析。 2、ECA 探針類型選擇上主要考慮如下幾個技術因素： 出口流量大??； 現網出口位置的設備類型，是否有華為設備（園區交換機） ； 內置 ECA 探針選擇時，要考慮 ECA 功能對園區交換機轉發性能的影響； 客戶是否有其他高級威脅檢測需求； 華為智簡園區加密通信分析技術白皮書 3 典型場景 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 15 由于 CIS 是 ECA 檢測必需組件，而流探針一般都會和 CIS 一起配置，所以總部出口優先使用

33、流探針。因此通常情況下我們推薦流探針交換機內置 ECA。 3、CIS 系統一般部署在管理區，具體選型需要根據實際流量大小選擇對應的配置 3.3 典型配置 CIS 選型 標準化部署:：大于 2Gbps 以上業務流量 流探針： 高配支持 10Gbps 混合流量或 1GbpsDNS 流量。 低配支持 500Mbps 混合流量或 50Mbps DNS 流量。 11 節點，11 臺硬件服務器，可擴容 小型化部署： 1）純流量支持 2Gbps 混合流量（需要流量平均包長不小于 640 字節），或者 200Mbps DNS 流量（需要流量平均包長不小于 128 字節） 2）流量+日志處理能力：1Gbps 混

34、合流量+1000EPS日志 4 節點，4 臺硬件服務器 單機版部署： 1）純流量處理能力：支持 1Gbps 混合流量（需要流量平均包長不小于 640 字節），或者 100Mbps DNS流量（需要流量平均包長不小于 128 字節）。 2）流量+日志處理能力：支持 500Mbps 混合流量+1000EPS 日志 日志處理能力：峰值 1000EPS（Event per Second），單條日志平均長度不超過 400 字節。 1 臺硬件服務器，4 個虛機 園區交換機 S5720HI/S5730HI/S6720HI 典型部署： 1. 敏捷園區場景下，企業總部/分支出口流量使用流探針實現 ECA 檢測及

35、其他高級安全檢測需求： 華為智簡園區加密通信分析技術白皮書 3 典型場景 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 16 2. 敏捷園區場景下，企業總部出口部署流探針實現加密、非加密流量檢測，分支出口通過園區交換機開啟內置 ECA 探針實現分支 ECA 檢測；如果考慮東西向加密流量檢測，可以在總部內網的園區交換機開啟 ECA 功能。園區交換機開啟內置 ECA 功能后，對其轉發性能影響較大，選型上需要注意： 華為智簡園區加密通信分析技術白皮書 A 縮略語 文檔版本 01 (2019-03-16) 版權所有 華為技術有限公司 17 A A縮略語縮略語 縮略語縮略語 英文全名 App APT NGFW TLS ECA AV application advanced persistent threat Next-Generation Firewall Transport Layer Security Encrypt Communication Analysis Anti-Virus 中文解釋 應用 高級持續性威脅 下一代防火墻 傳輸層安全 加密通信分析 反病毒