任何形式的信息传输都会面临信息丢失、攻击和窃取等风险,为此针对现阶段网络加密流量进行检测,以此实现对目标网络安全态势的感知。随着人们对网络信息安全防范意识的不断增强,HTTPS和VPN等加密形式开始逐渐应用到各种网络当中,这在一定程度上会破坏明文数据的数据格式和统计特点,导致一些恶意攻击流量可以通过防火墙的隔离危害用户网络。为此基于加密技术的加密协议随机性与网络上下报文等,研究并设计加密流量智能识别网络体系框架,提高对加密流量数据的深度检测能力,以期为加密流量的检测工作提供帮助。
网络安全的态势感知是保卫国家网络空间安全、维护公民正常上网秩序、提高网络监管部门对网络世界的监管以及保障网络空间的正常运行的重要手段。通过对网络流量、安全事件、脆弱性以及威胁情报等数据分析,为大数据或机器学习等智能识别技术分析用户行为和网络行为提供数据基础,以不断构建和完善当前整个网络的变化趋势,预测网络安全的未来发展,增强网络安全的防御能力与震慑能力。
随《网络安全法》和《国家网络安全战略》的相继出台,构建国家网络安全防御体系,增强网络安全的态势感知,是我国网络空间防御外界侵入的重要手段。在网络攻击中webshell是黑客常用的一种恶意脚本,针对webshell的检测可分为静态检测、动态检测以及日志检测,但是静态和动态本质上都是对一些特定字符串的检测,在数据识别中难免会出现因字符串混淆、加密等情况的干扰导致漏报或误报。因此,人们开始逐渐重视对网络数据的保护,使得越来越多的流量被技术手段进行加密,这一点可以从HTTPS在网站流量中的占比数据中看出。因此,进一步加强网络安全屏障,增强自主防范意识,需要突破原有加密流量检测体系框架的约束,增强加密流量智能识别网络识别异常信息的能力。
一、加密流量
(1)加密流量的发展现状
根据Netmarketshare的数据可知,截至到2019年10月全球Web流量加密比例已经超过90%,美国HTTPS占比92%、俄罗斯占比85%、日本占比80%,Google的2019年度透明报告中表示Chrome下的HTTPS加密情况已经达到95%。这种问题会导致用户数据无论好坏都会被加密,导致这些数据无法通过现有技术快速准确地给予检测,会给网络空间带来严重的安全风险。具NSS Labs实验室的加密数据检测实验最新数据结果显示,现阶段绝大部分安全设备都不能在不影响网络性能的同时检测加密数据,在实验数据中设备进行深度抓包检查时其性能损失会达到60%,连接率平均下降了92%,响应时间则增加了高达672%。更令人担忧的是,一些需要被分析的流量却根本没有被这些安全设备所处理。
(2)加密流量检测技术的现状与问题
加密流量检测是密码应用态势感知的核心技术,涉及的主要功能与应当支持的检测功能可分为以下几点:
第一,加密流量检测可以及时发现非法入侵的威胁风险,通过机器学习和专家预检系统实现对大规模加密流量样本数据进行安全检测,发现加密保护下存在的未知威胁。该检测可以通过漏洞、统计、路径以及规则等角度出发,对加密流量数据的关联进行分析,明确恶意加密流量攻击的目的和方式,实现攻击路径的反追踪。在加密流量态势感知系统下,网络用户能够及时了解目前正在使用网络的加密流量状态、是否存在被攻击的风险、风险来源以及哪些服务功能易受到攻击导致信息泄漏等情况,从而可以及时采取必要的防范措施对个人信息进行保护。
第二,加密流量检测应支撑应急响应和安全决策,在硬件设备缺少对加密流量数据的检测功能支持时,可以通过云端检测的方式形成“云网端”联合主动防御体系,通过该方式将特殊加密字符串通过云端数据库比对的方式实现检测联动,以达到在自适应决策响应中能够快速且准确地启动响应预案,实现恶意攻击事件的预警、响应、处置、反追踪和攻击记录等环节的高效响应,通过上述环节实现对恶意攻击的控制闭环反馈。
第三,对加密流量数据进行检测有利于网络建立一种全方位预警机制,在该预警机制下能够面向大规模网络加密流量实现安全态势感知,并可针对密码安全提供全局密码应用安全视图,协助用户或后台系统快速准确地掌握现阶段的上网风险,预测恶意攻击的攻击方式和目标,提高网络应对突发事件的应急响应能力,缓冲恶意攻击对网络造成的危害。
现阶段我国对于加密流量的识别方式主要以内容特征码识别、内容统计特征识别、流量特征识别以及端口识别等方法为主。因加密协议通常使用特定默认端口,所以加密流量识别可借助端口号的方式识别加密业务,但随着私有协议与随机端口的广泛应用,使得应用上述方法进行加密流量检测越来越难保障检测的精确度。在传统的加密协议中通常需要通信双方先建立连接,然后再进行版本协商以及密钥交换等操作,上述流程下的连接报文均具有固定的格式和内容,且会呈现出较为固定的流量特征,但是网络中的加密应用与加密协议种类繁多,很难利用已知的加密应用或协议标准对整个网络中的加密流量进行检测。同时,因现阶段的加密数据具有较高的随机性,虽然可以被用于检测加密流量,但检测的程度只限于对加密数据的初步识别,即判断是否对数据进行加密,不能实现加密流量的深度抓包检测。所以,对加密流量的智能识别网络设计需要从不同的加密领域、业务应用、平台以及网络环境等方向出发,突破传统对加密流量检测分析的单一局限性,通过文本增强、表面数据获取以及重组检测框架等方式实现对加密流量特征值的深度挖掘,以建立加密流量多尺度行为模型的方式实现加密流量的态势感知;利用多维、多层和多粒度的融合分析技术,并结合聚类算法、关联规则以及逻辑推理等数据挖掘技术,解决因加密流量全面动态变化、检测随机以及无效规避等因素引起的风险安全。
二、加密流量检测研究与框架设计
(1)文本样本增强
通过超文本传输协议(Hyper Text Transfer Protocol,HTTP)流量数据对异常流量进行检测的关键技术在于,需要使用文本数据分类的方法对HTTP流量进行二分类。但对Web的攻击语句通常具有较高的时效性,而且语句命令中可以存在各种形式的加密、替换与混淆等防侦测手段,即攻击者可以使用网络上任何一种抓包软件实现对某软件重要数据的获取,而且攻击者还可以轻易发动中间人攻击,在传输数据中穿插恶意代码破坏传输终端的网络,因此需要通过文本样本增强的方式训练原有神经网络,使其可以更加准确提取异常流量中的特征信息。上述方式属于低成本检测加密数据方式的一种初步构想,因HTTPS与HTTP相比只多出一层处理加密信息的模块,所以通过文本样本增强的方式可以帮助加密流量识别网络更好地抓取如关键词、语序、字符串以及语义关联等信息,增加加密算法识别过程的数据的准确性与时效性,规避一些影响特征数据抓取的抓包过程。例如某学者认为可以通过同义词替换的方式解决检测中单词或短语检测误差的问题,但该方法需要针对误差集进行误差短语库的补充;而另一些学者认为可以通过稀疏训练法对加密流量下的支持向量机(supportvectormachine,SVM)进行分类性能训练,并运用高斯随机分布理论构造加权无向图的半监督学习算法,以此实现对加密流量数据下识别检测的文本增强。虽然通过文本样本增强方式处理智能识别网络可以一定程度上提高对加密流量的识别检测,但因不规则的字符顺序会影响语义与语法的表达,所以对图像或语音识别检测而言上述方式是不合理的,而且Web流量数据绝大多数的字符是相对独立的存在,抑或是一些无意义的编码和非语义化的单词,运用同义词替换的方式增强文本样本反而会影响对加密流量数据特征的提取。因此,仍需要对加密流量智能识别网络设计进行完善,保障在不破坏原加密流量的同时实现对Web流量的文本样本增强。
(2)加密流量检测模型
在上述研究和已有加密流量识别框架、模型以及算法等基础上,设计基于加密流量的态势感知平台。在综合了解多种已有加密流量识别算法之后,认为本文研究设计的加密流量检测模型应当具有低开销与高识别率的优势,能够在常规的加密流量识别中实现约减数据输入和识别结果动态反馈等功能,并能够支持碎片化加密数据的识别检测,扩宽加密流量智能识别网络的识别能力。为实现上述目的需要重点解决以下3个问题:第一,需要对加密流量下特征提取、比对与演化问题进行研究与解决。对此,应当构建科学的加密流量识别检测模型,以降低网络识别加密流量时的功耗代价,并逐步提高智能识别网络每一次识别的准确率与识别速度。第二,需要对加密流量下智能识别的评估方法与指标体系进行设计。对此,应当利用全面覆盖的加密流量检测,广泛获取加密流量中的关键词符串、特征信息以及合规性信息等,并以此为基础对智能识别下的评估方法与指标体系进行设计,从而实现对加密流量的智能识别与整体识别评估。第三,加密流量智能识别网络下态势感知平台的关键技术问题。该问题属于本研究中的技术重点与难点,需要解决端口识别问题、流量特征识别问题、内容特征识别问题以及人工智能与机器学习的关键技术问题、针对加密流量的智能识别引擎研制问题以及策略分发机制与判决准则问题等。加密流量的智能识别检测框架设计如图1所示。
该框架采用模块化结构设计整个识别流程,使其具有较高的兼容性与扩展性。在该框架中可以将多种加密流量识别法进行整合,通过对加密数据进行预处理的方式降低识别的范围,提高智能识别引擎的反应速度与处理容量,实现对检测目标的多层次逐级深入识别的目的,既可兼顾加密流量识别速度,也可以保障加密流量智能识别的准确率与全面性。运用端口识别、流量特征识别和内容识别等技术融合大数据、人工智能以及机器学习等技术实现对加密流量的多元化多角度分析,从而进一步提高具有特定内容特征或固定端口加密流量的精确识别。
(3)加密流量检测关键技术
以加密流量的多样性、关联性、复杂性和大规模等特征为基础,研究并得出表征加密密码应用态势的关键要素。在此基础上,重点对加密密码应用的数据级、决策级以及特征级的数据融合技术进行分析,通过对单个加密密码汇聚成整体网络空间行为进行常态化检测的方法,以进一步深化网络空间下加密密码的应用态势。同时利用数据流挖掘、机器学习以及模糊推理等方法构建动态加密密码应用态势的预测模型,为智能识别网络能够实现对大规模恶意加密数据攻击提供预警信息,从而为智能识别网络下的安全管理与安全应急提供行动决策支持。
以下为隐藏内容,登录后可见。