随着互联网技术的不断发展,利用加密流量来保障业务传输安全已成为行业标准。据统计,互联网中HTTPS加密流量已超过了90%。虽然加密流量在保护业务数据和隐私安全方面发挥了重要作用,但它也为网络攻击者提供了隐蔽的攻击途径。近年来,随着APT(高级持续性威胁)攻击事件不断增加,攻击者善于利用加密流量来隐藏其攻击行为,经过加密的流量使得传统的明文匹配规则和载荷还原技术难以有效检测安全威胁。
面对这一挑战,首先考虑的解决方案是解密流量后进行明文检测,但这种做法存在较大的技术障碍和法律风险,具体来说:
技术瓶颈:解密流量会大量消耗安全设备性能,影响正常的安全防护
法律风险:解密后的流量可能涉及用户隐私和个人数据,存在法律风险
另一解决方案,是通过加密流量不解密的检测方案,通过规则匹配和指纹技术得以实现。近年来随着AI(人工智能)技术的发展,机器学习与深度学习技术已广泛应用在加密流量不解密的整体方案中,以提升检测效果。
山石网科利用AI能力,通过在云端进行数据处理、模型训练和评估调优,将优化后的检测模型推送至本地安全设备,实现对加密流量的精准检测和高效安全风险识别。
1.数据准备:收集合作情报数据、开源样本和云端样本,进行统一预处理,为模型训练做准备。2.模型训练:利用多源样本数据,通过机器学习技术在云端进行模型训练。3.模型评估及调优:由山石网科安全专家对训练后的模型进行评估,并根据评估结果对模型进行调优。4.模型算法推送:本地安全设备定期或手动下载更新云端模型数据。5.本地推理:本地安全设备加载经过训练调优的模型,对加密流量进行检测,识别安全风险。6.模型更新:检测结果等按需上传至云端,通过黑、白流量样本的增量学习,不断更新模型,以保持识别能力的持续提升。
图注:基于AI能力的加密流量不解密流程图
山石网科近年来一直推动基于AI技术的加密流量不解密检测,目前已将该能力广泛应用集成在公司大部分安全产品中,包括下一代防火墙、NDR-智感BDS和IDPS入侵防御检测等产品中,用户可通过相应设备版本来获取相应的AI安全能力。
图注:山石网科防火墙加密流量检测配置
图注:山石网科加密流量检测告警
在近年来的攻防演练和真实业务场景中,山石网科的安全产品多次成功发现来自加密流量的攻击威胁,结合NDR、XDR方案实现及时预警、响应和联动处置,有效帮助用户减少安全风险。
(免责声明:本文为本网站出于传播商业信息之目的进行转载发布,不代表本网站的观点及立场。本文所涉文、图、音视频等资料之一切权力和法律责任归材料提供方所有和承担。本网站对此咨询文字、图片等所有信息的真实性不作任何保证或承诺,亦不构成任何购买、投资等建议,据此操作者风险自担。)
评论