日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
惡意軟件加密通信概要分析

惡意加密流量是當前流量安全檢測的痛點和難點。在未解密的情況下如何檢測惡意加密流量,機器學習可提供頗為有效的解決方案。傳統(tǒng)機器學習依賴于訓練數(shù)據(jù)集和特征工程,而搜集的各類惡意加密流量種類繁多,且可能含有“雜質(zhì)”,如果對這些數(shù)據(jù)不加區(qū)分,直接進行訓練,將會影響模型檢測的準確率和誤報率。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設,準格爾企業(yè)網(wǎng)站建設,準格爾品牌網(wǎng)站建設,網(wǎng)站定制,準格爾網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,準格爾網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿,時刻以成就客戶成長自我,堅持不斷學習、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

[[264757]]

我們把些惡意加密流量分為三類:惡意軟件使用加密通信、加密通道中的行為、惡意或非法加密應用。本文主要針對“惡意軟件使用加密通信”進行分析,接下來將從三個方面進行闡述:

  • 惡意軟件使用加密通信要素統(tǒng)計;
  • 使用加密通信的惡意軟件分類;
  • 惡意軟件加密通信方式分析。

一、惡意軟件使用加密通信要素統(tǒng)計

為從宏觀上總結(jié)惡意軟件加密通信規(guī)律,我們對加密流量(十萬個有效的惡意樣本)的眾多要素進行了統(tǒng)計分析。本文對其中四個要素:通信端口、SSL協(xié)議版本、客戶端支持的加密套件個數(shù)和提供的擴展個數(shù)進行統(tǒng)計分析,從統(tǒng)計結(jié)果來看,惡意軟件加密通信的要素存在一定的規(guī)律:

1. 通信端口

惡意軟件加密通信使用的端口較為廣泛,不僅包括TCP443、TCP465等標準端口,還包括部分非標準端口。整體來看采用TCP443端口最多,占85%以上;其他三個使用比較多的端口為TCP449、TCP9001、TCP465,分別占5.48%、3.71%、1.96%。

圖1 惡意加密流量端口分布

2. TLS/SSL協(xié)議版本

在惡意軟件的加密流量中,使用TLSv1.2協(xié)議通信的占53.56%。早期的幾類TLS/SSL版本仍在廣泛使用,如

TLSV1.2占56.24%,TLSV1.0占36.26%,SSLV3占6.97%,TLSv1.1和SSLV2占的比重極小。

圖2 惡意加密流量TLS協(xié)議分布

3. 客戶端支持的加密套件個數(shù)

從統(tǒng)計結(jié)果看到,有將近35%的惡意軟件支持12個加密套件,將近25%的惡意軟件支持21個,約10%的惡意軟件支持36個。

圖3 客戶端支持的加密套件個數(shù)統(tǒng)計

4. 客戶端提供的擴展個數(shù)

通過統(tǒng)計發(fā)現(xiàn),超過98%的惡意軟件客戶端提供的TLS擴展個數(shù)小于7;其中占比較大的擴展個數(shù)是5、3、0,分別占38%、32%、11%。

圖4 惡意軟件客戶端提供的擴展個數(shù)

二、使用加密通信的惡意軟件分類

我們監(jiān)測發(fā)現(xiàn),使用加密通信的惡意軟件家族超過200種,所有惡意軟件中使用加密通信占比超過40%,平均每天新增使用加密通信的惡意軟件數(shù)量超過1000個,使用加密通信的惡意軟件幾乎覆蓋了所有常見類型,如:特洛伊木馬、勒索軟件、感染式、蠕蟲病毒、下載器等,其中特洛伊木馬和下載器類的惡意軟件家族占比較高。

圖5 加密通信的惡意軟件分類

六大類惡意軟件TOP5的病毒家族如下(微軟殺毒引擎):

圖6 典型加密通信惡意軟件Top5

三、惡意軟件加密通信方式

通過對惡意加密流量的分析,我們把惡意軟件產(chǎn)生加密流量的用途分為以下六類:C&C直連、檢測主機聯(lián)網(wǎng)環(huán)境、母體正常通信、白站隱蔽中轉(zhuǎn)、蠕蟲傳播通信、其它。惡意加密流量用途與各類惡意軟件的對應關(guān)系如下:

下面,我們將對各類加密通信方式進行闡述:

1. C&C直連

惡意軟件在受害主機執(zhí)行后,通過TLS等加密協(xié)議連接C&C(黑客控制端),這是最常見的直連通訊方式。基于我們監(jiān)測的數(shù)據(jù)統(tǒng)計結(jié)果,C&C地理位置分布統(tǒng)計情況如下:

圖7 C&C地理位置

2. 檢測主機聯(lián)網(wǎng)環(huán)境

部分惡意軟件在連接C&C服務器之前,會通過直接訪問互聯(lián)網(wǎng)網(wǎng)站的方式來檢測主機聯(lián)網(wǎng)情況,這些操作也會產(chǎn)生TLS加密流量。通過統(tǒng)計發(fā)現(xiàn):使用查詢IP類的站點最多,約占39%;使用訪問搜索引擎站點約占30%,其它類型站點約占31%。

圖8 檢測主機聯(lián)網(wǎng)環(huán)境站點

3. 母體程序正常通信

感染式病毒是將惡意代碼嵌入在可執(zhí)行文件中,惡意代碼在運行母體程序時被觸發(fā)。母體被感染后產(chǎn)生的流量有母體應用本身聯(lián)網(wǎng)流量和惡意軟件產(chǎn)生的流量兩類。由于可被感染的母體程序類別較多,其加密通信流量與惡意樣本本身特性基本無關(guān),本文就不做詳細闡述。

4. 白站隱蔽中轉(zhuǎn)

白站是指相對于C&C服務器,可信度較高的站點。黑客將控制命令載荷隱藏在白站中,惡意軟件運行后,通過SSL協(xié)議訪問白站獲取相關(guān)惡意代碼或信息。通過統(tǒng)計發(fā)現(xiàn),最常利用的白站包括Amazonaws、Github、Twitter等。

圖9 白站隱蔽中轉(zhuǎn)站點排行

隱藏惡意代碼的中轉(zhuǎn)文件類型包括圖片、腳本、二進制數(shù)據(jù)等,如下三個實例:

5. 蠕蟲傳播通信

蠕蟲具有自我復制、自我傳播的功能,一般利用漏洞、電子郵件等途徑進行傳播。監(jiān)測顯示近幾年活躍的郵件蠕蟲已經(jīng)開始采用TLS協(xié)議發(fā)送郵件傳播,如Dridex家族就含基于TLS協(xié)議的郵件蠕蟲模塊。我們對36個蠕蟲家族樣本進行分析,有5個家族使用加密通信協(xié)議與C&C服務器建立連接:

圖10蠕蟲樣本加密通信占比

6. 其他通信

除以上幾類、還有一些如廣告軟件、漏洞利用等產(chǎn)生的惡意加密流量。

四、總結(jié)

我們將常見的惡意軟件使用加密通信方式總結(jié)如下圖:

圖11 惡意軟件加密通訊示意圖

我們利用上述分類方法,對前期流量數(shù)據(jù)進行分類處理,將惡意加密流量中的雜質(zhì)進行過濾、并對其進行分類,再進行特征工程和模型訓練調(diào)參。數(shù)據(jù)分類處理的細度和準確度,將直接影響最終模型檢出的準確率和誤報率。


當前文章:惡意軟件加密通信概要分析
文章網(wǎng)址:http://www.dlmjj.cn/article/dpgohsj.html