阿凡达

To protect your data, you must understand the traffic on your network.  This task has become even more challenging with widespread use of the Transport Layer Security (TLS) protocol, which inhibits traditional network security monitoring techniques.  The good news is that TLS fingerprinting can help you understand your traffic without interfering with any of the security benefits TLS brings to applications and complements current solutions like Encrypted Traffic Analytics [9].   To help our customers better understand the benefits of the approach, and to help drive the development and adoption of defensive uses of traffic analysis, the Advanced Security Research team of Cisco's Security and Trust Organization has published a large set of fingerprints [1] with the support of the Cisco Technology Fund.

传输层安全指纹技术将应用和/或TLS库与从TLS客户端提取参数相联2009年用Md_slhaf[2],2012年用SSL指纹p0f[3],2015年用FingerprinTLS[4],最近用JA3[5]更多TLS握手与TLS1.3黑暗化时,客户端指纹仍然提供可靠方法识别TLS客户端事实TLS1.3增量TLS指纹参数空间因客户端Hello中添加数据特征目前只有五套密码套件定义TLS 1.3,但在可预见的未来释放的大多数TLS客户端将与TLS 1.2相容后退,并因此提供多套“遗留式”密码套件除5 TLS 1.3专用密码套件外,还有数个新扩展件,如支持版本,使我们能够区分支持TLS 1.3前期实施草案的客户

为何方法不同

TLS指纹采集的可见度与底层指纹数据库相同, 并一直到现在,生成数据库是一个人工过程, 更新速度慢, 不反映现实世界TLS使用基础工作我们首次公开发布2016年1月[6],我们通过创建连续过程解决了这个问题,即用端点遥测连接网络电路测量自动构建指纹数据库允许我们从受控端点生成数据TLS指纹,使我们能见化到(大得多)非控端点集,并快速整合新发布应用信息CiscoQAnyConnectQET网络可见模块收集网络数据[7]和Joy[1]收集网络数据后,系统生成指纹数据库,这些数据库代表各种现实应用和操作系统使用网络协议如TLS的方式程序应用到Cisco威胁网格生成数据[8]自动化恶意分析沙盒,以确保系统捕捉恶意软件最新趋势以多重源码如实战网络和恶意沙盒为例,我们可以更容易地辨别与恶意相关联的指纹和需要附加上下文才能确信的指纹。

内存数据库内存过程操作系统属性信息4 000多TLS指纹(并计数),取自实战网络和恶意分析沙盒数据库还存有观察信息,如计数、目的地和从企业网络观察超过12 000TLS指纹的日期开源数据库子集超过1 900个指纹(并计数)是开源社区最大和资料最丰富的指纹数据库。数据库只包含良性进程信息无法发布恶意软件指纹

基于数据聚合过程生成记录,我们报告全部进程操作系统使用TLS指纹计算数,用TLS指纹实时网络传输schema提供比较现实的TLS指纹使用图(换句话说,多进程可绘制单指纹图,比别进程多出点可能性)。

数据库的另一长处是它提供尽可能多的相关逐指纹数据数据库主密钥是描述TLS参数的字符串,通过线上观察,允许生成这些密钥的系统提供有价值的信息,即使数据库没有匹配点。客户端Hello与RFC联名,RFC先定义该参数并使用此信息报告最大最小实现日期日期提供实用上下文客户名Hello密码参数使用年限,不依赖数据库匹配

结论

继续开发指纹数据库顶部应用 任何输入都最受欢迎雷竞技真的能提现吗为促进协作,我们开源内TLS指纹数据库子集和数个ython工具作为Joy项目的一部分[1]开源贡献包括:

  • 指纹数据库每周更新
  • 欢乐特征生成TLS流指纹字符串
  • Python程序集识别包抓取或网络直播接口中的TLS指纹并生成可投送开源社区的新TLS指纹
  • 网络用户界面可视化TLS指纹制作结果

[1]https://github.com/cisco/joy

[2]https://blog.ivanristic.com/2009/06/http-client-fingerprinting-using-ssl-handshake-analysis.html

3https://idea.popcount.org/2012-06-17-ssl-fingerprinting-for-p0f/

[4]https://github.com/synackpse/tls-fingerprinting

[5]https://github.com/salesforce/ja3

[6]https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=449962

7https://www.cisco.com/go/anyconnect

[8]https://www.cisco.com/go/threatgrid

[9]https://www.cisco.com/go/eta



作者类

阿凡达

布莱克安德森

软件工程师

高级安全研究组