由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）主辦的“2021年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽”總決賽在國(guó)家網(wǎng)絡(luò)安全宣傳周期間舉辦，觀成科技憑借創(chuàng)新產(chǎn)品“觀成瞰云-加密威脅智能檢測(cè)系統(tǒng)（ENS）”榮獲一等獎(jiǎng)。產(chǎn)品的技術(shù)創(chuàng)新性、領(lǐng)先性和實(shí)用性吸引了在座的專(zhuān)家評(píng)委及現(xiàn)場(chǎng)觀眾，其獨(dú)創(chuàng)的“魚(yú)骨圖”加密流量檢測(cè)設(shè)計(jì)更是點(diǎn)睛之筆。我們通過(guò)“魚(yú)骨圖”一起來(lái)探索觀成瞰云-加密威脅智能檢測(cè)系統(tǒng)（ENS）的獨(dú)特之處。

　　觀成瞰云-加密威脅智能檢測(cè)系統(tǒng)（ENS）綜合運(yùn)用人工智能和行為檢測(cè)、規(guī)則檢測(cè)、指紋檢測(cè)等安全檢測(cè)技術(shù)，解決了惡意加密流量檢測(cè)難題。但在早期產(chǎn)品應(yīng)用過(guò)程中，因系統(tǒng)綜合決策體系復(fù)雜、涉及因素繁多，也給檢測(cè)結(jié)果的可解釋性造成了一定挑戰(zhàn)。如何將復(fù)雜的決策過(guò)程形象的進(jìn)行體現(xiàn)，讓用戶能一眼看明白加密流量檢測(cè)的因素、結(jié)果？觀成科技經(jīng)過(guò)不斷的探索，最終形成了加密流量檢測(cè)“魚(yú)骨圖”來(lái)解決上面的問(wèn)題。

　　l“魚(yú)骨圖”介紹

　　“魚(yú)骨圖”用于呈現(xiàn)加密流量的報(bào)警情況，分為魚(yú)尾、魚(yú)刺及魚(yú)頭三部分。其中魚(yú)尾部分用于呈現(xiàn)加密握手協(xié)商模型的檢測(cè)結(jié)果；魚(yú)刺部分用于呈現(xiàn)通信實(shí)體間（IP對(duì)）單次會(huì)話和多次會(huì)話的行為特征；魚(yú)頭由三部分組成，分別呈現(xiàn)背景流量、證書(shū)以及關(guān)聯(lián)DNS等3個(gè)模型的檢測(cè)結(jié)果?！棒~(yú)骨圖”不同部分分別對(duì)應(yīng)產(chǎn)品的各種檢測(cè)模型、檢測(cè)方法。每種檢測(cè)模型的檢測(cè)結(jié)果為0-1之間的預(yù)測(cè)值，數(shù)字越大表示異常等級(jí)越高。在“魚(yú)骨圖”中用不同的顏色表示異常的等級(jí)，分別是綠色（正常 得分小于0.5）、黃色（可疑 得分在0.5-0.7之間）、橙色（異常 得分在0.7-0.9之間）、紅色（嚴(yán)重 得分大于0.9）。

　　除“魚(yú)骨圖”的圖形本身之外，在魚(yú)骨圖上方的醒目位置，觀成瞰云（ENS）將系統(tǒng)綜合決策評(píng)分和威脅標(biāo)簽進(jìn)行呈現(xiàn)，讓用戶對(duì)檢測(cè)結(jié)果和威脅類(lèi)型一目了然。在“魚(yú)骨圖”的左右兩側(cè)和下方，分別對(duì)加密握手協(xié)商、加密協(xié)議證書(shū)、單流和多流行為參數(shù)、DNS/HTTP等背景流量的關(guān)鍵參數(shù)進(jìn)行展示，豐富的信息量有助于客戶直接深入了解加密流量性質(zhì)、類(lèi)型。

　　l“魚(yú)骨圖”檢測(cè)舉例

　　觀成瞰云（ENS）對(duì)不同的加密流量進(jìn)行檢測(cè)，在魚(yú)骨圖中會(huì)呈現(xiàn)不同的效果。我們簡(jiǎn)單列舉以下幾種類(lèi)型：

　　1

　　正常加密流量檢測(cè)結(jié)果

　　使用熱門(mén)瀏覽器訪問(wèn)正常HTTPS網(wǎng)站流量的檢測(cè)結(jié)果如上圖所示。從圖中分析，客戶端、服務(wù)端、DNS、證書(shū)的檢測(cè)評(píng)分都比較低，魚(yú)頭和魚(yú)尾均顯示綠色。單流和多流行為檢測(cè)呈現(xiàn)一定的隨機(jī)性，因此得分也比較低。最終系統(tǒng)決策結(jié)果評(píng)分0.31，威脅標(biāo)簽為空。

　　2

　　APT流量檢測(cè)結(jié)果：響尾蛇

　　上圖是“響尾蛇”APT組織加密檢測(cè)結(jié)果。從圖中可以看到，與正常加密流量相比，無(wú)論是客戶端、服務(wù)端、證書(shū)還是DNS，觀成瞰云（ENS）的各種模型得分均有顯著提高，體現(xiàn)模型輸出的魚(yú)尾、魚(yú)頭部分也變成了橙色、紅色。從魚(yú)刺方面看，能看到典型的上下行載荷、包數(shù)相同的情況，這與正常上網(wǎng)瀏覽的行為存在顯著不同，因此流量特征報(bào)警也給出了0.92的分?jǐn)?shù)。經(jīng)系統(tǒng)綜合決策，最終評(píng)分為0.77，通過(guò)規(guī)則、行為的匹配分析，系統(tǒng)發(fā)現(xiàn)該流量為響尾蛇APT組織流量，并打上了相應(yīng)的威脅標(biāo)簽。

　　3

　　APT流量檢測(cè)結(jié)果：海蓮花

　　除TLS加密流量外，觀成瞰云（ENS）也支持對(duì)利用DNS等協(xié)議進(jìn)行隱蔽隧道傳輸?shù)膼阂饬髁?。上圖是APT組織“海蓮花”使用的木馬家族“Denis”隧道流量檢測(cè)結(jié)果。該木馬利用DNS的A記錄、NS記錄進(jìn)行心跳和信息回傳，從“魚(yú)骨圖”中可清晰看出隱蔽隧道中的心跳行為。系統(tǒng)綜合決策得分為0.97，威脅標(biāo)簽為Denis。

　　4

　　黑客工具檢測(cè)結(jié)果：Cobalt Strike

　　Cobalt Strike是近年紅隊(duì)常用的滲透平臺(tái)。上圖是系統(tǒng)針對(duì)Cobalt Strike產(chǎn)生的TLS命令控制流量的檢測(cè)結(jié)果。從圖中分析，系統(tǒng)對(duì)該流量的握手協(xié)商、證書(shū)和單流、多流行為均進(jìn)行了告警，綜合評(píng)分為0.93，威脅標(biāo)簽為Cobalt Strike。

　　5

　　傳統(tǒng)木馬檢測(cè)結(jié)果：Upatre

　　Upatre家族為第一階段的木馬家族，主要是下載木馬進(jìn)行第二階段的攻擊。一般下載者流量在“魚(yú)骨圖”整體上載荷不會(huì)太大，且下行流量大于上行。在圖中可以看到，系統(tǒng)對(duì)Upatre的加密握手協(xié)商、證書(shū)的流行為進(jìn)行了告警，綜合得分為0.98，威脅標(biāo)簽為Upatre。

　　6

　　隱蔽隧道檢測(cè)結(jié)果：DNS隧道

　　DNS隱蔽隧道黑客入侵、命令回傳常用的方式之一。上圖是利用Cobalt Strike搭建DNS隧道通信流量的檢測(cè)結(jié)果。從上圖分析，該流量利用DNS的A記錄傳輸信息，在短時(shí)間內(nèi)進(jìn)行了大量DNS請(qǐng)求/響應(yīng)交互，這一點(diǎn)在魚(yú)刺部分的體現(xiàn)非常直觀。最終系統(tǒng)綜合AI、規(guī)則和行為檢測(cè)結(jié)果，判定為Cobalt Strike產(chǎn)生的DNS隧道流量。

　　l“魚(yú)骨圖”的“大道至簡(jiǎn)”

　　觀成瞰云（ENS）綜合使用了人工智能多模型檢測(cè)，輔之以規(guī)則檢測(cè)、行為檢測(cè)、指紋檢測(cè)等傳統(tǒng)檢測(cè)方法，實(shí)現(xiàn)對(duì)惡意加密流量檢測(cè)。雖然加密流量檢測(cè)體系復(fù)雜、因素繁多，但是并沒(méi)有影響觀成瞰云（ENS）產(chǎn)品向用戶闡述決策過(guò)程。我們相信智慧是認(rèn)識(shí)事物本實(shí)這一道理，引導(dǎo)我們透過(guò)現(xiàn)象觀察到事物本身的目的和內(nèi)在的聯(lián)系，堅(jiān)持“用最簡(jiǎn)單的呈現(xiàn)解釋最復(fù)雜的檢測(cè)”的“大道至簡(jiǎn)”設(shè)計(jì)原則，用一張“魚(yú)骨圖”融合多個(gè)引擎檢測(cè)、規(guī)則檢測(cè)、行為檢測(cè)結(jié)果，結(jié)合豐富的信息呈現(xiàn)，完美解決了加密流量檢測(cè)結(jié)果可解釋性的問(wèn)題。

　　l觀成瞰云（ENS）簡(jiǎn)介

　　觀成瞰云-加密威脅智能檢測(cè)系統(tǒng)（ENS）是觀成科技將人工智能與安全檢測(cè)技術(shù)相結(jié)合的創(chuàng)新型安全產(chǎn)品，可針對(duì)惡意軟件、黑客工具、非法應(yīng)用等加密威脅進(jìn)行有效檢測(cè)。該產(chǎn)品為觀成科技自主研發(fā)、具有完整的知識(shí)產(chǎn)權(quán)，解決了惡意加密流量檢測(cè)難題，填補(bǔ)了市場(chǎng)和技術(shù)空白。

　　除了獨(dú)創(chuàng)的“魚(yú)骨圖”加密流量檢測(cè)吸引了大家的眼球，觀成瞰云（ENS）的其他創(chuàng)新點(diǎn)也不容忽視：

　　1.細(xì)粒度加密流量特征工程構(gòu)建技術(shù)；

　　2. 惡意加密多流行為特征挖掘分析技術(shù)；

　　3.面向攻防演練常見(jiàn)下的黑客工具加密流量識(shí)別技術(shù)；

　　4.面向加密類(lèi)高級(jí)威脅檢測(cè)分析技術(shù)。

　　與此同時(shí)，觀成瞰云（ENS）還具有使用加密通信的惡意軟件檢測(cè)、使用加密通信的黑客工具檢測(cè)、使用加密通信的非法應(yīng)用檢測(cè)、未知和新型加密威脅檢測(cè)等功能。