作者:Jo@北京观成科技
恶意加密流量是当前流量安全检测的痛点和难点在未解密的情况下如何检测恶意加密流量,机器学习可提供颇为有效的解决方案传统机器学习依賴于训练数据集和特征工程,而搜集的各类恶意加密流量种类繁多且可能含有“杂质”,如果对这些数据不加区分直接进行训练,将會影响模型检测的准确率和误报率
我们把些恶意加密流量分为三类:恶意软件使用加密通信、加密通道中的攻击行为、恶意或非法加密應用。本文主要针对“恶意软件使用加密通信”进行分析接下来将从三个方面进行阐述:
(1)恶意软件使用加密通信要素统计;
(2)使鼡加密通信的恶意软件分类;
(3)恶意软件加密通信方式分析。
一、恶意软件使用加密通信要素统计
为从宏观上总结恶意软件加密通信规律我们对加密流量(十万个有效的恶意样本)的众多要素进行了统计分析。本文对其中四个要素:通信端口、SSL协议版本、客户端支持的加密套件个数和提供的扩展个数进行统计分析从统计结果来看,恶意软件加密通信的要素存在一定的规律:
恶意软件加密通信使用的端ロ较为广泛不仅包括TCP443、TCP465等标准端口,还包括部分非标准端口整体来看采用TCP443端口最多,占85%以上;其他三个使用比较多的端口为TCP449、TCP9001、TCP465分別占5.48%、3.71%、1.96%。
图1 恶意加密流量端口分布
在恶意软件的加密流量中使用TLSv1.2协议通信的占53.56%。早期的几类TLS/SSL版本仍在广泛使用如
图2 恶意加密流量TLS协議分布
|
【PConline资讯】微软刚刚刚宣布加密货币挖矿类恶意软件,已经成为了当下增长的一项威胁最新研究指出,自比特币价格在2017年出现暴涨以来越来越多的犯罪分子将他們的注意力转向了加密数字货币,从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利微软通过Windows Defender收集的遥測数据得出了这项结论。 2017 年 9 月 - 2018 年 1 月间平均每月都有大约 64.4 万台计算机受到了“加密货币挖矿类木马”的影响。微软猜测这些挖矿类惡意软件,似乎是从勒索软件转移而来的:
自去年 9 月以来微软已经注意到,被拿来挖矿的企业计算机有大量增加的趋势应用程序的恶意看似不大,但它们多数未经授权;甚至员工可以利用巨大的算力来赚一笔快钱。 微软指出只要启用“潜在不需要的应用程序防护”(PUA)功能,企业就能够很好地预防这类情况的发生仅在今年 1 月,加密货币挖矿就占据了 PUA 拦截量的 6% 看漫画烧电脑怎么加密?原来是网页偷偷的“挖矿”! Youtube沦陷:用户访問网站 发现门罗币挖矿代码 |