导 言
过去两年来,我们系统收集分析恶意软件生成包捕获在此期间,我们观察到恶意样本使用TLS加密以逃避检测的比例稳步上升2015年8月,2.21%的恶意软件样本使用TLS,2017年5月增加到21.44%在同一时间段内,0.12%的恶意软件样本使用TLS并免加密连接HTTP,升至4.45%
识别加密网络交通中包含的威胁提出了一套独特的挑战监控威胁和恶意软件流量很重要,但这样做的方式应维护用户隐私。模式匹配效果较低TLS会议时,我们需要开发新方法,以精确检测此设置中的恶意通信[1、23]为此,我们使用流单包长度和回发时间理解传输数据行为特征,并使用客户端Hello中TLS元数据理解传输数据TLS客户端并存于监督机学习框架 使我们能够检测TLS通信中已知和未知威胁
图1概述TLS会议简洁视图TLS 1.2[4]中,大多数有趣的TLS握手消息不加密,图1以红色显示TLS分类专用信息都来自客户端Hello,TLS1.3[7]中也可以访问
数据类
在整个生命中,我们坚持数据是我们成功的核心与威胁Grid和CiscoInfec联手获取恶意包捕获量和实战企业数据这些数据反馈帮助引导我们分析并开发流特征最信息化提供点直觉说明我们分析的数据特征为何有趣, 我们首先聚焦于特定恶意软件样本Bestafera,
通过封装长度和时报行为分析
图2显示两个不同的TLS会议包长度和区间访问:Google搜索图2a和Bestafera启动连接图2b上头X级axis表示时间,上行表示包大小从客户端/源发送服务器/目的地,下行表示包大小从服务器发送客户红线再次表示非加密消息,黑线表示加密应用数据记录大小
Google搜索遵循典型模式:客户初始请求分小批处理,后继大响应覆盖多MTU尺寸包数包回溯归因谷歌试图自动完成我在打字时搜索Google终于发现我打什么字, 并发送更新结果集服务器Bostafera开始发送包自签名证书,可视之为图2b中第一个下拉薄红线握手后客户立即开始向服务器提取数据暂停后服务器定期发送调度命令控制消息包长度和来港间时间无法深入了解会话内容,但有助于推理会话行为方面
指纹应用TLS元数据
TLS客户端Hello消息提供两件特别有趣的信息,可用以辨别不同的TLS库和应用程序客户提供服务器列表 合适的密码套房排序每种密码套件定义一套方法,如加密算法和伪函数,建立连接并用TLS传输数据需要这些方法客户端还可以发布数组TLS扩展功能,这些扩展功能可以向服务器提供键交换所需的参数,例如ec_point_formats
密码套件向量可因提供的独特密码套件数和提供的不同子组而异类似地,扩展列表依连接上下文而异因为大多数应用通常有不同的优先级,这些清单实际上可以并确实包含大量歧视性信息。桌面浏览器倾向于偏重重力、安全加密算法、移动应用偏重高效加密算法和默认密码套件向量与TLS库绑定客户提供通常提供范围更广的密码套件帮助测试服务器配置
多数用户级应用并扩展野外看到的大量TLS连接使用广受欢迎的TLS库,如BringSSL、NSS或OpenSSL这些应用通常有独特的TLS指纹,因为开发者会修改库默认优化应用更清晰地说,OpenSSL1.0.1r用户TLS指纹极有可能不同于使用OpenSSL1.0.1r通信的应用也是为什么BostaferaTLS指纹既有趣又独特:它使用OpenSSL1.0.1r默认设置创建TLS连接
应用机器学习
特征表示
博客文章集中直截面表示三种数据类型:传统NetFlow、包长度和从TLS客户端Hello取信息这些数据类型都取自单次TLS会话,但我们还开发出模型,从多流中集成特征[1]所有特征均匀化为零均值和单元差
遗留问题.传统NetFlow5个特征使用:流用持续时间、客户寄送包数、服务器寄送包数、客户寄送字节数和服务器寄送字节数
包长度序列.创建长20特征矢量, 即每个项为双向流中对应包大小从客户端到服务器的包尺寸为正数,从服务器到客户端的包尺寸为负数
TLS元数据.我们分析提供密码套件列表和客户Hello消息中广告扩展列表数据集中,我们观察了176个独有密码套件和21个独有扩展件,结果产生长197二元特征矢量适当特征设置为1,如果密码套件或扩展出现在客户Hello消息中
学习
提交结果全部使用scit-learn随机森林实现[6]基于我们先前纵向研究,组合树数定为125,树分数乘积平方根共特征数乘积随机森林模型使用特征集由遗留特征、SPL特征和/或TLS特征子集组成,视实验而定
结果
TLS流取企业网络Site1和324771流出GrewGrid(2015年8月至2016年12月收集)培训随机森林模型并模拟部署模型 从单企业网络Site2和恶意数据2 638 559样本TLS2流和57 822TLS流表1显示实验结果不同阈值0.5是分类器默认阈值,越高阈值,培训模型越确定TLS流由恶意生成恶意/benciousacurities分离显示相容于特定类的特征子集遗留物近似完全精准良性数据集,但这些特征无法泛化到恶意数据集
0.99阈值时,使用遗留/SPL特征分类正确分类98.95%良性样本和69.81%恶意样本合并应用信息与网络流量行为特征(SPL)后,这些结果大有改善遗留/SPL/TLS组合是良软件样本和恶意样本最优性能模型0.95阈值时,该模型对良性数据集和恶意数据集分别实现99.99%和85.80%的确认值。
结论
解密解决方案并非在所有环境都理想化,Cisco花时间开发研究产品以补缺并赞美当前解决方案验证网络数据显示 最小假阳性能能实现可靠检测除Cisco产品团队进一步开发这项工作外,我们还花时间通过开源[5]和学术论文[1、23]与广大外部受众接触
引用
[1]BAnderson和D麦格鲁Maware加密流数据识别内
2016ACM人工情报安全讲习班记录,AISec'16,第35至46页
2016年
[2]BAnderson和D麦格鲁机器加密 Maware流量分类计数ACMSIGKDD知识国际会议
发现数据挖掘2017年
[3]BAnderson S.保罗和D麦格鲁解密 Maware使用TLSArXiv
e-prints,2016年7月
[4] T.迪尔克和E瑞索拉运输层安全协议1.2版RFC 5246
(拟议标准),2008年
[5]McGrew B安德森市赫德森和PPerricone欢乐https://github.com/cisco/joy, 2017.
[6]FPedregosa GVaroquaux A格拉姆福特米歇尔 B锡里安市格里瑟尔市金字塔普腾霍夫
- 威斯市杜堡JVanderplas A巴索斯市库尔纳波布鲁歇尔市Perrot和E杜奇-
snay.sigit-learn: Python机器学习机器学习研究杂志12:2825-2830
2011年
[7]E瑞索拉运输层安全协议1.3版(20稿)。https://tools.ietf.org/html/draft-ietf-tls-tls13-20, 2017.
不错的点子令人惊异