捉加密流量里的“惡棍”

思科全球副總裁、大中華區首席技術官 曹圖強

據Gartner調查，到2019年，超過80%的企業流量將被加密，這意味著加密是一把雙刃劍，保護隱私的同時，也會隱藏惡意軟件，對網絡安全帶來隱患。通常處理加密流量的手段是解密流量，并使用防火墻等設備查看流量。但這種方法存在弊端，例如耗時較長，需要在網絡中添加額外設備。思科發布了新一代的網絡，其中最大的亮點是Catalyst 9000交換機組合，內置了加密流量分析技術，可以在不用解密流量或破壞數據隱私的情況下，發現加密流量中的威脅。

曹圖強談道，業界都認為加密流量分析是不可實現的，因為在加密流量中你看不到任何數據。在看不到數據的情況下，你如何進行分析？這也是近50%勒索軟件的流量都是加密的原因，目的就是不讓你知道它是一個勒索軟件。所以為了研發加密流量分析技術，思科確實進行了很大投資。

思科Talos團隊研究了數百萬不同流量上的惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，運用大數據分析提煉出惡意軟件的特征，最終取得了這項技術成果，這在安全領域是顛覆性的成功。這項技術可從加密數據包的3個特征發現異常。第一是初始數據包，第二是數據包長度和時間的順序，第三是數據包的有效載荷上的字節分布。

曹圖強表示，目前思科的技術能夠實現對加密流量進行準確性高達99%的威脅檢測，同時實現低于0.01%的誤報率，這在安全領域里是一個顛覆性的突破。

Catalyst 9000交換機組合除了加密流量分析技術外，在硬件和軟件層也進行了革新。思科把交換機將作為一個新的IT平臺，這個新IT平臺可以支持物聯網、云計算，支持智能的網絡。

曹圖強具體談到了Catalyst 9000交換機組合的優勢：第一，可編程的ASIC能夠適應未來創新的要求，這是芯片技術的重大創新；第二，可以幫助網絡發現并阻斷最復雜的網絡攻擊；第三，能夠將物聯網設備與其他流量隔離；第四，能夠托管無線控制器，并支持諸如802.11ax等全新無線標準；第五，能夠在內置的x86計算綜合設施上托管第三方應用，使客戶能在容器或虛擬機中運行其應用。