本刊記者 王 超

于海東，北京觀成科技有限公司聯(lián)合創(chuàng)始人，安全分析實(shí)戰(zhàn)專家。曾在兩家安全公司負(fù)責(zé)逆向分析、安全分析、應(yīng)急響應(yīng)等工作，并帶隊(duì)參與數(shù)十起重大安全事件進(jìn)行應(yīng)急響應(yīng)，服務(wù)過上百家重要行業(yè)客戶。2015年至2019年期間，獨(dú)立打造多套完整的加密流量檢測、逆向分析培訓(xùn)課程體系，廣受行業(yè)用戶好評。

隨著大眾網(wǎng)絡(luò)安全意識的穩(wěn)步提升，對數(shù)據(jù)保護(hù)的意識也愈加強(qiáng)烈。對于特定類型的網(wǎng)絡(luò)通信，加密甚至已成為法律的強(qiáng)制性要求，加密在保護(hù)隱私的同時也給網(wǎng)絡(luò)安全帶來了新的隱患。攻擊者將加密作為隱蔽的通道，加密流量給攻擊者隱藏其命令與控制活動提供了可乘之機(jī)。

目前，傳統(tǒng)的流量檢測方法顯得“捉襟見肘”，無法適應(yīng)現(xiàn)在威脅加密化的新形勢。不僅如此，面對變種惡意程序以及未知加密威脅則更是無能為力。像“冰蝎”“哥斯拉”等這種WEBSHELL工具，在某些特定的場景下，還可以通過解密后再對其明文流量進(jìn)行檢測，但這種方案卻無法有效應(yīng)對加密通信的反彈馬，無論是基于標(biāo)準(zhǔn)的SSL/TLS協(xié)議通信，還是其他的加密通信類型。

如何在不解密的情況下發(fā)現(xiàn)惡意加密流量則成為我們必須要面對的問題。為此，雜志社采訪到了觀成科技聯(lián)合創(chuàng)始人于海東，就有關(guān)問題進(jìn)行了深入訪談。

記者：請您談?wù)?，目前國?nèi)企業(yè)網(wǎng)加密流量的整體情況。

于海東：當(dāng)前，加密流量占比直線上升，威脅加密化已成為主流，有超過一半的企業(yè)網(wǎng)絡(luò)流量已經(jīng)被加密，加密流量中隱藏著大量的惡意流量，所面臨的各類安全風(fēng)險超乎我們的想象。從我們監(jiān)測分析的數(shù)據(jù)來看，每10個惡意程序中就有超過4個會使用加密通信，而像這樣使用加密通信的惡意程序每天新增的數(shù)量超過1000個。傳統(tǒng)的流量檢測方法大多都是基于規(guī)則，或者對流量中提取文件后再進(jìn)行檢測，可當(dāng)面對加密流量時，這些檢測方法將不再適用。加密流量中隱藏的如何有效地檢測和防御加密流量中的安全風(fēng)險是業(yè)內(nèi)亟待解決的難題。

加密和明文流量檢測雖然同屬流量安全的范疇，但是兩種檢測是兩個不同的課題。加密流量檢測與傳統(tǒng)明文流量檢測的根本差異在于無法獲知加密數(shù)據(jù)信息，因此無法對加密會話所傳遞信息的內(nèi)容進(jìn)行檢測。傳統(tǒng)明文檢測產(chǎn)品中使用的規(guī)則匹配、載荷還原檢測等流量檢測技術(shù)無法適用于加密流量。舉一個簡單的例子，某些基于明文通信的惡意流量，如攻擊流量、木馬通信流量等，基本上都可以找到關(guān)鍵的字符、特征來匹配。但數(shù)據(jù)一旦加密，呈現(xiàn)的信息就極少，很難匹配明顯的規(guī)則。

近幾年加密威脅檢測在國內(nèi)外也逐步受到重視和關(guān)注。美國、以色列等國家的多個龍頭企業(yè)、創(chuàng)業(yè)公司從2016、2017年起就逐步推出了加密流量檢測相關(guān)的產(chǎn)品和解決方案；國內(nèi)的研究機(jī)構(gòu)、高校、安全廠家從2017、2018年陸續(xù)開展研究和相關(guān)產(chǎn)品研發(fā)，2019年，國內(nèi)多個主管部門發(fā)布的相關(guān)文件也首次強(qiáng)調(diào)了提升加密通信防御能力、加密流量的檢測和防御。2020年1月1日，《中華人民共和國密碼法》正式實(shí)施，給加密威脅檢測、加密業(yè)務(wù)安全方向帶來了重大利好。

記者：用戶在加密流量中主要面臨哪些問題？又將怎樣解決？

于海東：加密流量如今成為大多政企客戶安全管理的一個難題，里面跑的什么不知道、有沒有威脅和風(fēng)險不知道?？偨Y(jié)起來，主要面臨以下三個問題。

一是識別。每天有大量的外聯(lián)加密流量，到底都是什么業(yè)務(wù)？無法識別超過60%的加密流量，對于網(wǎng)絡(luò)安全管理來說，就是一個危險的盲區(qū)。

二是發(fā)現(xiàn)。大量的加密流量，到底有沒有人在攻擊我？都有哪些風(fēng)險？如何去發(fā)現(xiàn)加密流量中的各類威脅行為，是絕大多數(shù)網(wǎng)絡(luò)安全管理方正在面臨的一個難題。

三是授權(quán)。到底有哪些人在沒有經(jīng)過授權(quán)的情況下使用翻墻軟件或者VPN？當(dāng)前的網(wǎng)絡(luò)環(huán)境中，存在大量的惡意或者非法的翻墻軟件、VPN等。這類灰色應(yīng)用如果不加以識別和管控，除了有潛在的信息泄露的風(fēng)險，還極有可能成為某些高級威脅信息傳輸?shù)耐ǖ馈?/p>

從根本上講，加密威脅檢測是一個體系化的問題，很難用單一的模型或者單一的方法來解決，不同的威脅類型要有不同的解決方案。加密流量的內(nèi)容雖然無法直接檢測，但是可以從很多其他角度對加密流量進(jìn)行分析，這些角度包括：

（1）微觀層面：兩個通信主體間的單次加密會話特性；

（2）中觀層面：兩個通信主體間的多次加密會話特性；

（3）宏觀層面：某固定時間段、固定網(wǎng)絡(luò)中所有通信主體間的會話特性。

通過對微觀、中觀、宏觀三個層面的特征進(jìn)行提取、選擇后，結(jié)合AI多模型、行為分析以及規(guī)則檢測等，最終形成一整套針對惡意加密流量的檢測體系。

例如，我司的瞰云-加密威脅智能檢測系統(tǒng)就是充分利用人工智能優(yōu)勢特點(diǎn)，有效解決了惡意加密流量檢測的難題，彌補(bǔ)了市場和技術(shù)空白，可實(shí)現(xiàn)對惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應(yīng)用進(jìn)行有效檢測和防御。

瞰云-加密威脅智能檢測系統(tǒng)主要功能由三個模塊組成：加密通道攻擊檢測分析、使用加密通信的惡意軟件&惡意應(yīng)用檢測分析、密數(shù)據(jù)挖掘分析。

加密通道攻擊檢測分析：主要是針對SSL、SSH、RDP等加密通道的攻擊行為檢測，檢測方法包括行為檢測、規(guī)則檢測、流簽名檢測、指紋檢測、登錄行為檢測等。

使用加密通信的惡意軟件&惡意應(yīng)用檢測分析：主要是針對使用加密通信的惡意軟件、惡意應(yīng)用進(jìn)行檢測和識別，檢測方法包括行為檢測、AI多模型檢測、規(guī)則檢測等。

密數(shù)據(jù)挖掘分析：主要是針對網(wǎng)絡(luò)中所有密數(shù)據(jù)進(jìn)行深度挖掘、關(guān)聯(lián)分析，包括對密數(shù)據(jù)的信息提取、特征提取、單流畫像、多流畫像，以及對SSL加密數(shù)據(jù)的基礎(chǔ)識別、應(yīng)用識別、分類識別和算法識別等。

記者：有人說，人工智能用于加密流量安全檢測將是一種新技術(shù)手段。對此，您是怎么看的？

于海東：確實(shí)是這樣。傳統(tǒng)流量安全檢測技術(shù)在處理加密流量時遇到了困難，一直沒有比較好的檢測方法。而人工智能基于特征提取和行為分析的方法，可以在不解密報文的情況下，提煉出惡意軟件的特性，從而識別出有害威脅，是一種非常好的輔助手段。

之所以定位為輔助手段，是因?yàn)榧用芡{是一個極其復(fù)雜的體系化問題，不能僅僅依靠人工智能算法就完全解決。我們通過搜集和分析典型的惡意軟件家族樣本，并對其通信模塊、加解密方法等進(jìn)行了大量分析工作后，發(fā)現(xiàn)惡意軟件使用加密通信的方式是多樣的，概括起來主要有以下四種形式：

（1）基于標(biāo)準(zhǔn)加密通信協(xié)議，如SSL/TLS協(xié)議；

（2）基于自定義加密通信協(xié)議，如TCP自定義加密通信協(xié)議和UDP自定義加密通信協(xié)議；

（3）基于標(biāo)準(zhǔn)協(xié)議的隱蔽隧道，如ICMP隱蔽隧道、DNS隱蔽隧道、HTTP隱蔽隧道等；

（4）基于標(biāo)準(zhǔn)協(xié)議的偽裝協(xié)議，如TLS偽裝類協(xié)議、HTTP偽裝類協(xié)議等。

像上面的這些惡意加密通信類型，有一些適合通過人工智能的方式來檢測，且僅僅是輔助手段；還有一些則不一定適合，不同的情況必須要有針對性的解決方案才能有效應(yīng)對。

記者：在您看來，一個科學(xué)合理的加密流量安全檢測防御體系應(yīng)該是怎樣的？在這方面，觀成科技是如何深耕布局的？

于海東：我個人認(rèn)為一個科學(xué)合理的加密流量檢測防御體系應(yīng)該是具備全面性、專業(yè)性和友好性三個要素。根據(jù)我們對加密流量的理解，我們將惡意加密流量分成以下三大類：

惡意軟件使用加密通信：這一類主要是指惡意代碼、惡意軟件為逃避安全產(chǎn)品和人工檢測，使用加密通信來偽裝或隱藏明文流量特征。例如特洛伊木馬、感染式病毒、蠕蟲病毒、下載器等。

加密通道中的惡意攻擊行為：這一類主要是指攻擊者利用已建立好的加密通道發(fā)起攻擊。攻擊行為包括掃描探測、暴力破解等。

惡意或非法加密應(yīng)用：這一類主要是指使用加密通信的一些惡意、非法應(yīng)用，例如Tor瀏覽器、無界瀏覽、自由門、賽風(fēng)VPN，以及一些黑客工具如“冰蝎”“哥斯拉”等。

首先是全面性。目前我們的瞰云-加密威脅智能檢測系統(tǒng)能夠?qū)σ陨先愅{進(jìn)行有效檢出。覆蓋的使用加密通信的惡意軟件家族超過了200種，覆蓋的流行黑客工具超過50款，我們也在持續(xù)跟進(jìn)新出現(xiàn)的以及變種的惡意軟件或者黑客工具等。

其次是專業(yè)性。前面我們提到過，惡意加密流量是極其復(fù)雜的，不存在一種能夠檢測所有威脅類型的解決方案。針對不同類型的加密威脅，必須要制定相應(yīng)的檢測辦法。比如，針對惡意軟件加密通信，我們就內(nèi)置了四個檢測引擎，分別對標(biāo)準(zhǔn)加密協(xié)議通信、自定義協(xié)議加密通信、隱蔽隧道加密通信以及偽裝協(xié)議加密通信進(jìn)行檢測。

最后是關(guān)于客戶的友好性。我們的產(chǎn)品用到了人工智能技術(shù)，而人工智能用于加密流量檢測時的一個比較突出的問題就是可解釋性差。為了解決這類問題，我們在產(chǎn)品中設(shè)計(jì)了比較獨(dú)特的報警呈現(xiàn)界面，我們稱為“魚骨圖”。通過“魚骨圖”這種可視化的方式將加密威脅的各個異常特征呈現(xiàn)出來，這樣，只要有一定網(wǎng)絡(luò)協(xié)議基礎(chǔ)的用戶就可以快速理解產(chǎn)品報警的原因是什么，較好地解決了可解釋性差的問題。

記者：作為一家長期專注于加密流量檢測與防御的企業(yè)，觀成科技在技術(shù)創(chuàng)新、產(chǎn)品研發(fā)等方面取得了哪些進(jìn)展？

于海東：我們創(chuàng)業(yè)兩年多，最大的收獲有兩點(diǎn)：一是我們真正了解了哪些威脅在使用加密通信、使用什么方式在加密；二是找到了一部分解決方案，可以對部分加密威脅形成檢測和防御能力。我覺得我們在技術(shù)和產(chǎn)品上最大的創(chuàng)新在于如何清晰地掌握加密威脅、并能快速形成一部分解決方案，彌補(bǔ)市場和技術(shù)的空白。

之所以說一部分解決方案，是我們清晰地認(rèn)識到，加密威脅也分很多等級，有很多加密的威脅確實(shí)是最高級別的對抗，我們暫時還無法做到精準(zhǔn)檢測與防御，這也是我們未來持續(xù)努力和創(chuàng)新的目標(biāo)。

產(chǎn)品方面，當(dāng)前觀成科技已發(fā)布多款產(chǎn)品，包括瞰云-加密威脅智能檢測系統(tǒng)、瞰云-智能威脅檢測系統(tǒng)、瞰影-加密業(yè)務(wù)監(jiān)控分析系統(tǒng)等。其中，瞰云-加密威脅智能檢測系統(tǒng)是將人工智能（AI）技術(shù)與安全檢測技術(shù)相結(jié)合，具有完全自主知識產(chǎn)權(quán)的一款針對惡意加密威脅進(jìn)行有效檢測與防御的創(chuàng)新型安全檢測產(chǎn)品。

技術(shù)方面，產(chǎn)品充分利用了多種檢測技術(shù)，有效解決了惡意加密流量檢測的難題，彌補(bǔ)了市場和技術(shù)空白，可實(shí)現(xiàn)對惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應(yīng)用進(jìn)行有效檢測和防御。瞰影-加密業(yè)務(wù)監(jiān)控分析系統(tǒng)是在密碼技術(shù)研究的基礎(chǔ)上，結(jié)合密碼分析與人工智能技術(shù)，以密碼對抗的視角實(shí)現(xiàn)各類加密業(yè)務(wù)、加密協(xié)議的識別與分類、異常性檢測、合規(guī)性檢測以及密碼業(yè)務(wù)安全態(tài)勢分析。

自2019年3月發(fā)布產(chǎn)品以來，公司目前服務(wù)了多個重點(diǎn)行業(yè)的數(shù)十家客戶，并被國內(nèi)多個龍頭國企、安全廠商選為合作伙伴，公司的產(chǎn)品和技術(shù)受到廣大好評，并在大量現(xiàn)網(wǎng)中進(jìn)行驗(yàn)證取得了一批實(shí)戰(zhàn)成果。

記者：請您談?wù)動^成科技未來戰(zhàn)略規(guī)劃及布局。

于海東：首先，通過這兩年多的跟蹤，我們確信，威脅的加密化和用戶網(wǎng)絡(luò)加密化已經(jīng)不可逆轉(zhuǎn)，無論是威脅還是用戶網(wǎng)絡(luò)加密的比例只會越來越高。加密網(wǎng)絡(luò)空間的安全防御是必然，但這個方向又比較難，所以在較長一段時間內(nèi)我們一定會專注于加密網(wǎng)絡(luò)空間的防御，不斷地突破和創(chuàng)新。

其次，這兩年我們關(guān)注到越來越多的行業(yè)客戶對于加密流量的檢測和防御需求越來越旺盛，我們會不斷攻克技術(shù)難題、打磨產(chǎn)品，為更多行業(yè)客戶提供我們的產(chǎn)品和服務(wù)，為客戶網(wǎng)絡(luò)安全防御體系貢獻(xiàn)一份力量。