加密流量分析

© 2017 思科和/或其附属公司。版权所有。
白皮书 思科公开信息
加密评估
加密流量分析还可立即从提供可视性的每个网络对话中确定其加密质量，从而确保企业符合加密协议要求。它可以让 您了解您的网络上已加密和未加密的内容，因此您可以有把握地说您的全数字化企业得到了保护。此加密评估显示在 Stealthwatch 中，并且可以通过 API 导出到第三方工具中以便进行监控和加密合规性审核（图 5）。 图 5. 加密评估
加密流量分析 - 加密流量的新数 据元素
加密流量分析专注于通过被动监控、相关数据元素提取和具 有基于云的全局可视性的监督式机器学习识别加密流量中的 恶意软件通信。
传输层安全 (TLS) 协议是一项确保应用隐私的加密协议。 TLS 协议通常在通用协议（例如浏览网站时使用的 HTTP 协议或电子邮件中使用的简单邮件传输协议 [SMTP]）的基 础之上实施。HTTPS 协议就是在 HTTP 协议的基础上使用 TLS 协议。这是确保 Web 服务器和客户端之间通信安全的 最普遍使用的方式，并且可在大多数主要 Web 服务器上受 到支持。
白皮书 思科公开信息
在保护加密流量安全方面的挑战
目前，大多数组织都不具有可检测到加密流量中的恶意内容 的解决方案。他们缺乏相应的安全工具和资源去实施能够在 整个网络基础设施中部署且不会拖慢网络速度的解决方案。
出于性能和资源方面的原因，通过批量解密、分析和重加密 进行的传统威胁检测并非始终实用或可行。不过，在许多情 况下，可以利用高级分析技术识别恶意流，再通过解密技术 进行进一步的检测。
• 字节分布：字节分布表示某特定字节值出现在数据流内数 据包负载中的概率。数据流的字节分布可通过一组计数器 计算。与字节分布相关的主要数据类型为完整的字节分 布、字节熵和字节的平均/标准偏差。例如每个字节值使用 一个计数器，HTTP GET 请求“HTTP/1.1.”可通过增加 “H”对应的计数器一次，然后增加两个连续的“T”对应 的计数器两次来计算。虽然字节分布采用的是一组计数器 的方式，按照总字节数进行归一化后便可将其转化为正常 的分布。
几乎没有人知道自己的全数字化企业中有多少内容处于明码 状态，又有多少内容已被加密。如果流量需要加密，通常也 是为达到特定安全策略的合规性要求。
加密流量分析方案概述
传统的流监控通过报告数据流的地址、端口以及字节数和数 据包数来提供网络通信的概括视图。此外，流内元数据或关 于流内部发生的事件的信息可以在流监控框架内进行收集、 存储和分析。对于加密的流量来说，此类数据尤为重要，因 为这种情况下已无法进行深度数据包检测。此类流内元数据 （称为加密流量分析）可通过使用独立于协议详细信息（例 如流中消息的长度和到达时间）之外的新型数据元素或遥测 获得。这些数据元素具有独特的属性，即可同时适用于加密 和未加密的数据流。
2015 2017 2019 财年 财年 财年
加密技术专项预算占 IT 预算的百分比
© 2017 思科和/或其附属公司。版权所有。
ቤተ መጻሕፍቲ ባይዱ
白皮书 思科公开信息
目录
挑战 概述 加密流量分析 组件
增强型 NetFlow 采用感知分析的 Stealthwatch 加密评估 功能支持 效力和思科研究结果
结论 附录 A 参考资料
功能支持 从思科 IOS® XE 16.6 开始，思科的最新网络设备将支持具有加密流量分析功能的增强型 NetFlow。 1. 可支持具有加密流量分析功能的增强型 NetFlow 的兼容思科设备： • 交换机：思科 Catalyst® 9300 系列（从思科 IOS XE 16.6 版本开始）和 9400 系列以及 9500 系列（从思科 IOS XE
精确率
© 2017 思科和/或其附属公司。版权所有。
白皮书 思科公开信息
Stealthwatch 管理控制台 (SMC) 的“安全洞察”控制面板中显示了“感知分析”识别的受影响用户（按风险类型划分）。 扩展“感知分析”控制面板即可显示有关重大风险升级和相对威胁风险的详细信息。表 3 列出了利用加密命令和控制通信 的一些高风险威胁。 图 4. 采用感知分析的 Stealthwatch 安全洞察控制面板
未经检查的加密流量
威胁
员工通过 HTTPS 浏览网页
内部网络中的员工与网络边缘 (DMZ) 服务器建立安全连接
• 恶意软件感染 • 与命令和控制服务器通信的隐蔽通道 • 数据泄漏 从受感染主机开始横向扩散
互联网用户通过加密协议连接至企 降低深度防御，只有一种防御技术
业公共服务器
检查传入流量
© 2017 思科和/或其附属公司。版权所有。
加密正不断改变威胁形势
16%
20%
19%
22%
23%
23%
25%
30%
直线预测
41%
60% 50%
34%
2005 2006 2007 财年 财年 财年 来源：泰雷兹和 Vormetric
2008 财年
2009 财年
2010 2011 2012 2013 财年 财年 财年 财年
加密技术的广泛部署
2014 财年
流收集器
感知分析
cognitive.cisco.com https
思科最新的交换机和路由器中提供具有 加密流量分析功能的增强型 NetFlow
Stealthwatch 增强型分析和机器 学习缩短了威胁调查时间
从全局到局部的知识关联帮助用户 更准确地发现威胁
© 2017 思科和/或其附属公司。版权所有。
通过使用这些数据元素或流内遥测来识别加密流量中的恶意 软件通信，使加密流量分析可以在不进行批量解密的情况下 保持加密流的完整性（图 2）。表 2 列出了使用加密流量分 析的优势。
图 2. 加密流量分析 - 技术解决方案概述
网络传感器
NetFlow
增强型 NetFlow
加密审计遥测
NetFlow +
代理遥测
加密流量分析提取四个主要数据元素：数据包长度与数据包 到达间隔时间顺序、字节分布、TLS 特定特性和初始数据 包。思科独特的专用集成电路 (ASIC) 架构能够提取这些数 据元素，且不会拖慢数据网络的速度。
• 数据包长度与数据包到达间隔时间顺序 (SPLT)：SPLT 反 映了数据流的前几个数据包中每个数据包的应用负载长度 （字节数）以及这些数据包的到达间隔时间。SPLT 可用一 组数据包大小（字节）和一组时间（毫秒）来表示，其中 时间代表的是该数据包与前一个数据包之间的时间间隔。
图 3. 感知分析引擎 ThreatGrid
ETA 具体分类
互联网 爬虫
全球风险图
威胁关联
景
测
100 亿部 请求/天
CTA
第1层
攻击后
异常检测
信任建模
勘
感
遥
能
功
CTA
第2层
CTA
事件分类 实体建模
第3层 关系建模
件
事
发
突
情
胁
威
50K 事件/日
召回率
异常 Web 请求（流）
恶意 事件（流顺序）
威胁 事件（汇聚事件）
白皮书 思科公开信息
加密流量分析
简介
迅猛增长的加密流量正不断改变着威胁形势。随着越来越多的企业实现全数字化，大量的服务和应 用都采用加密技术作为确保信息安全的首要方法。更具体地说，加密流量同比增长已超过 90%，对 流量进行加密的网站数量已从 2015 年的 21% 上升到 2016 年的超过 40%。据 Gartner 预测，到 2019 年，80% 的网站流量都会被加密。 对于使用互联网通信并在线处理业务交易的企业而言，加密技术可以为其提供更强的隐私性和安全 性。移动应用、云应用和 Web 应用依赖合理实施的加密机制，使用密钥和证书来确保安全性并建 立信任。然而，企业并不是加密技术的唯一受益者。威胁发起者也在利用这项技术躲避检测，确保 他们恶意活动能够得逞。图 1 显示了此类攻击带来的经济影响。
表 3. 利用加密命令和控制的高风险威胁示例 姓名 Gamarue/Andromeda Sality Necurs Rerdom
类型 模块化僵尸网络 文件感染器、模块化僵尸网络 信息窃取恶意软件、后门、僵尸网络 点击欺诈、僵尸网络
一旦发现恶意加密数据流，StealthWatch 便会阻止或隔离该数据流。通过 pxGrid 利用具备思科 TrustSec® 和软件定义访问 （SD-Access）的思科身份服务引擎 (ISE) 进行策略驱动型补救行动可以简化并加快网络安全运营。
16.8.1 版本开始） • 路由器：ASR 1001-X、ASR 1002-X、ASR 1001-HX、ASR 1002-HX、ASR 1004、ASR 1006-X、ASR 1009-X、
白皮书 思科公开信息
表 2. 采用加密流量分析的优势 优势
• 安全可视性：通过网络分析洞悉加密流量中存在的威胁。通过与用户和设备信息关联的实时分析获取情景威胁情报。 • 加密评估：确保企业符合加密协议标准，并提供对网络中已加密和未加密内容的可视性和相关信息。 • 更快的响应时间：快速遏制受感染的设备和用户。 • 节省时间和成本：将网络作为维护安全状态的基础，借此发挥网络安全投资的作用。
要获得对整个网络的可视性变得日益困难，传统的检测方式无法确保数据可接受检 测。我们不仅要能区分恶意流量和良性流量，还需要评估我们的全数字化企业中有 多少内容受加密保护，又有多少内容未受加密保护。
Gartner 认为，2019 年将有一半的恶意软件活动采用某种加密技术来掩盖恶意软 件传送、命令和控制活动或数据泄露。
图 1. 恶意攻击带来的经济影响
81%
组织一直是网络攻击的 受害者
200 天
行业平均漏洞检测时间
41%
攻击者利用加密技术躲 避检测
60 天
行业平均漏洞补救时间
64%
无法在加密流量中检测到 恶意内容
380 万美元
数据泄露平均成本
表 1 列出了基于加密流量性质划分的新威胁媒介。
表 1. 基于加密流量性质划分的新威胁媒介
NetFlow 模板采用 IANA 管理的多个全局定义的元素。某些 全球元素（例如 IP 地址和第 4 层端口号）组成熟悉的五元 组，用作数据流唯一标识符（数据流密钥）。其他元素用于 报告基本数据包/八位字节长度统计数据和时间戳。
这些全局定义的元素通过上文以及附录 A 中描述的供应商特 定（思科供应商 ID）数据元素得到加强。供应商特定数据元 素通过思科 Stealthwatch® 提供对加密流量中的威胁和漏洞 的洞察。
• 初始数据包 (IDP)：IDP 用于从数据流的第一个数据包中获 取数据包数据。它可以提取相关数据，例如 HTTP URL、 DNS 主机名/地址和其他数据元素。TLS 握手可通过几条消 息完成，这些信息中包含用于提取数据元素（例如密码套 件、TLS 版本和客户端的公共密钥长度）的相关未加密元 数据。
附录 A 中提供了详细的新数据元素表格。
© 2017 思科和/或其附属公司。版权所有。
白皮书 思科公开信息
带有加密流量分析的增强型网络 即传感器 - 组成部分
增强型 NetFlow
在 NetFlow 架构中，数据以几组记录的形式从输出器传输至 收集器。数据集的每条记录都采用模板指定的相同格式。数 据记录包含一系列 NetFlow 信息元素或“域”，每个域会分 配一个特定的 ID 值。信息元素的 ID 值可能由互联网号码分 配局 (IANA) 全局定义和存档，也可能是视企业而定并由个 人组织定义。
采用感知分析的 Stealthwatch
思科 StealthWatch 使用 NetFlow、代理服务器、终端遥 测、策略和访问引擎、流量分段等为整个企业的主机和用 户建立“正常”行为基准。通过与感知分析集成，基于云 的分析引擎 Stealthwatch 可以将流量与全球威胁关联，从 而自动识别受感染主机、命令和控制通信以及可疑流量。
感知分析维护着一个全球风险图 - 一个含有大量关于互联 网上服务器行为的配置文件，可识别与攻击相关、可能被 攻击者利用漏洞攻击或未来可能被用于实施攻击的服务器 （图 3）。它并不是一个黑名单，而是一个从安全角度而 言的全面视图。感知分析通过应用机器学习和统计建模分 析增强型 NetFlow 中的新加密流量数据元素。全球风险图 和和加密流量分析数据元素在感知分析引擎中相辅相成。 采用感知分析的 Stealthwatch 并不采用解密流量的方式， 而是使用机器学习算法准确定位加密流量中的恶意模式， 从而有助于识别威胁并提高事件响应水平。