企业环境下,这可谓是个大好消息,因为当今的防护都依赖于终止加密来检查流量这种争议性的方法。
在文章中,几位研究员解释称,恶意软件会在TLS流中留下可识别的痕迹。
他们的研究涵盖了18类恶意软件的几千个样本,从某企业网络中捕获的数百万加密数据流中识别出了数万恶意流量。他们指出,这种检测可能只企业网络有效,而对诸如服务提供商之类的无效。
在研究人员数据集中的深度包检测,其主要应用是嗅探出客户端和服务器之间的联系消息,以及识别出TLS版本,而不是用户数据。
仅仅网络数据本身,就足以鉴别TLS流是否属于绝大多数恶意软件家族。甚至在不同恶意软件家族使用同样的TLS参数的情况下,通常也能经由“基于流的特征”而被鉴别出来。
这些特征包括:流元数据(输入输出的字节、包、网络端口号、流持续时间);包长度和时间的序列;字节分布;TLS头信息。
研究囊括的恶意软件家族有:bergat、Deshacop、Dridex、Dynamer、Kazy、Parite、Razy、Zedbot和Zusy等等。
研究人员认为,针对流分析的正确机器学习应用,让他们在单独加密流的恶意软件归属问题上拥有了90.3%的准确率,而在5分钟窗口时间对所有加密流的分析中达到了93.2%的准确率。
