探索和構建加密流量安全防御和治理體系——訪北京觀成科技有限公司聯合創始人于海東

本刊記者 王 超

于海東，北京觀成科技有限公司聯合創始人，安全分析實戰專家。曾在兩家安全公司負責逆向分析、安全分析、應急響應等工作，并帶隊參與數十起重大安全事件進行應急響應，服務過上百家重要行業客戶。2015年至2019年期間，獨立打造多套完整的加密流量檢測、逆向分析培訓課程體系，廣受行業用戶好評。

隨著大眾網絡安全意識的穩步提升，對數據保護的意識也愈加強烈。對于特定類型的網絡通信，加密甚至已成為法律的強制性要求，加密在保護隱私的同時也給網絡安全帶來了新的隱患。攻擊者將加密作為隱蔽的通道，加密流量給攻擊者隱藏其命令與控制活動提供了可乘之機。

目前，傳統的流量檢測方法顯得“捉襟見肘”，無法適應現在威脅加密化的新形勢。不僅如此，面對變種惡意程序以及未知加密威脅則更是無能為力。像“冰蝎”“哥斯拉”等這種WEBSHELL工具，在某些特定的場景下，還可以通過解密后再對其明文流量進行檢測，但這種方案卻無法有效應對加密通信的反彈馬，無論是基于標準的SSL/TLS協議通信，還是其他的加密通信類型。

如何在不解密的情況下發現惡意加密流量則成為我們必須要面對的問題。為此，雜志社采訪到了觀成科技聯合創始人于海東，就有關問題進行了深入訪談。

記者：請您談談，目前國內企業網加密流量的整體情況。

于海東：當前，加密流量占比直線上升，威脅加密化已成為主流，有超過一半的企業網絡流量已經被加密，加密流量中隱藏著大量的惡意流量，所面臨的各類安全風險超乎我們的想象。從我們監測分析的數據來看，每10個惡意程序中就有超過4個會使用加密通信，而像這樣使用加密通信的惡意程序每天新增的數量超過1000個。傳統的流量檢測方法大多都是基于規則，或者對流量中提取文件后再進行檢測，可當面對加密流量時，這些檢測方法將不再適用。加密流量中隱藏的如何有效地檢測和防御加密流量中的安全風險是業內亟待解決的難題。

加密和明文流量檢測雖然同屬流量安全的范疇，但是兩種檢測是兩個不同的課題。加密流量檢測與傳統明文流量檢測的根本差異在于無法獲知加密數據信息，因此無法對加密會話所傳遞信息的內容進行檢測。傳統明文檢測產品中使用的規則匹配、載荷還原檢測等流量檢測技術無法適用于加密流量。舉一個簡單的例子，某些基于明文通信的惡意流量，如攻擊流量、木馬通信流量等，基本上都可以找到關鍵的字符、特征來匹配。但數據一旦加密，呈現的信息就極少，很難匹配明顯的規則。

近幾年加密威脅檢測在國內外也逐步受到重視和關注。美國、以色列等國家的多個龍頭企業、創業公司從2016、2017年起就逐步推出了加密流量檢測相關的產品和解決方案；國內的研究機構、高校、安全廠家從2017、2018年陸續開展研究和相關產品研發，2019年，國內多個主管部門發布的相關文件也首次強調了提升加密通信防御能力、加密流量的檢測和防御。2020年1月1日，《中華人民共和國密碼法》正式實施，給加密威脅檢測、加密業務安全方向帶來了重大利好。

記者：用戶在加密流量中主要面臨哪些問題？又將怎樣解決？

于海東：加密流量如今成為大多政企客戶安全管理的一個難題，里面跑的什么不知道、有沒有威脅和風險不知道。總結起來，主要面臨以下三個問題。

一是識別。每天有大量的外聯加密流量，到底都是什么業務？無法識別超過60%的加密流量，對于網絡安全管理來說，就是一個危險的盲區。

二是發現。大量的加密流量，到底有沒有人在攻擊我？都有哪些風險？如何去發現加密流量中的各類威脅行為，是絕大多數網絡安全管理方正在面臨的一個難題。

三是授權。到底有哪些人在沒有經過授權的情況下使用翻墻軟件或者VPN？當前的網絡環境中，存在大量的惡意或者非法的翻墻軟件、VPN等。這類灰色應用如果不加以識別和管控，除了有潛在的信息泄露的風險，還極有可能成為某些高級威脅信息傳輸的通道。

從根本上講，加密威脅檢測是一個體系化的問題，很難用單一的模型或者單一的方法來解決，不同的威脅類型要有不同的解決方案。加密流量的內容雖然無法直接檢測，但是可以從很多其他角度對加密流量進行分析，這些角度包括：

（1）微觀層面：兩個通信主體間的單次加密會話特性；

（2）中觀層面：兩個通信主體間的多次加密會話特性；

（3）宏觀層面：某固定時間段、固定網絡中所有通信主體間的會話特性。

通過對微觀、中觀、宏觀三個層面的特征進行提取、選擇后，結合AI多模型、行為分析以及規則檢測等，最終形成一整套針對惡意加密流量的檢測體系。

例如，我司的瞰云-加密威脅智能檢測系統就是充分利用人工智能優勢特點，有效解決了惡意加密流量檢測的難題，彌補了市場和技術空白，可實現對惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應用進行有效檢測和防御。

瞰云-加密威脅智能檢測系統主要功能由三個模塊組成：加密通道攻擊檢測分析、使用加密通信的惡意軟件&惡意應用檢測分析、密數據挖掘分析。

加密通道攻擊檢測分析：主要是針對SSL、SSH、RDP等加密通道的攻擊行為檢測，檢測方法包括行為檢測、規則檢測、流簽名檢測、指紋檢測、登錄行為檢測等。

使用加密通信的惡意軟件&惡意應用檢測分析：主要是針對使用加密通信的惡意軟件、惡意應用進行檢測和識別，檢測方法包括行為檢測、AI多模型檢測、規則檢測等。

密數據挖掘分析：主要是針對網絡中所有密數據進行深度挖掘、關聯分析，包括對密數據的信息提取、特征提取、單流畫像、多流畫像，以及對SSL加密數據的基礎識別、應用識別、分類識別和算法識別等。

記者：有人說，人工智能用于加密流量安全檢測將是一種新技術手段。對此，您是怎么看的？

于海東：確實是這樣。傳統流量安全檢測技術在處理加密流量時遇到了困難，一直沒有比較好的檢測方法。而人工智能基于特征提取和行為分析的方法，可以在不解密報文的情況下，提煉出惡意軟件的特性，從而識別出有害威脅，是一種非常好的輔助手段。

之所以定位為輔助手段，是因為加密威脅是一個極其復雜的體系化問題，不能僅僅依靠人工智能算法就完全解決。我們通過搜集和分析典型的惡意軟件家族樣本，并對其通信模塊、加解密方法等進行了大量分析工作后，發現惡意軟件使用加密通信的方式是多樣的，概括起來主要有以下四種形式：

（1）基于標準加密通信協議，如SSL/TLS協議；

（2）基于自定義加密通信協議，如TCP自定義加密通信協議和UDP自定義加密通信協議；

（3）基于標準協議的隱蔽隧道，如ICMP隱蔽隧道、DNS隱蔽隧道、HTTP隱蔽隧道等；

（4）基于標準協議的偽裝協議，如TLS偽裝類協議、HTTP偽裝類協議等。

像上面的這些惡意加密通信類型，有一些適合通過人工智能的方式來檢測，且僅僅是輔助手段；還有一些則不一定適合，不同的情況必須要有針對性的解決方案才能有效應對。

記者：在您看來，一個科學合理的加密流量安全檢測防御體系應該是怎樣的？在這方面，觀成科技是如何深耕布局的？

于海東：我個人認為一個科學合理的加密流量檢測防御體系應該是具備全面性、專業性和友好性三個要素。根據我們對加密流量的理解，我們將惡意加密流量分成以下三大類：

惡意軟件使用加密通信：這一類主要是指惡意代碼、惡意軟件為逃避安全產品和人工檢測，使用加密通信來偽裝或隱藏明文流量特征。例如特洛伊木馬、感染式病毒、蠕蟲病毒、下載器等。

加密通道中的惡意攻擊行為：這一類主要是指攻擊者利用已建立好的加密通道發起攻擊。攻擊行為包括掃描探測、暴力破解等。

惡意或非法加密應用：這一類主要是指使用加密通信的一些惡意、非法應用，例如Tor瀏覽器、無界瀏覽、自由門、賽風VPN，以及一些黑客工具如“冰蝎”“哥斯拉”等。

首先是全面性。目前我們的瞰云-加密威脅智能檢測系統能夠對以上三類威脅進行有效檢出。覆蓋的使用加密通信的惡意軟件家族超過了200種，覆蓋的流行黑客工具超過50款，我們也在持續跟進新出現的以及變種的惡意軟件或者黑客工具等。

其次是專業性。前面我們提到過，惡意加密流量是極其復雜的，不存在一種能夠檢測所有威脅類型的解決方案。針對不同類型的加密威脅，必須要制定相應的檢測辦法。比如，針對惡意軟件加密通信，我們就內置了四個檢測引擎，分別對標準加密協議通信、自定義協議加密通信、隱蔽隧道加密通信以及偽裝協議加密通信進行檢測。

最后是關于客戶的友好性。我們的產品用到了人工智能技術，而人工智能用于加密流量檢測時的一個比較突出的問題就是可解釋性差。為了解決這類問題，我們在產品中設計了比較獨特的報警呈現界面，我們稱為“魚骨圖”。通過“魚骨圖”這種可視化的方式將加密威脅的各個異常特征呈現出來，這樣，只要有一定網絡協議基礎的用戶就可以快速理解產品報警的原因是什么，較好地解決了可解釋性差的問題。

記者：作為一家長期專注于加密流量檢測與防御的企業，觀成科技在技術創新、產品研發等方面取得了哪些進展？

于海東：我們創業兩年多，最大的收獲有兩點：一是我們真正了解了哪些威脅在使用加密通信、使用什么方式在加密；二是找到了一部分解決方案，可以對部分加密威脅形成檢測和防御能力。我覺得我們在技術和產品上最大的創新在于如何清晰地掌握加密威脅、并能快速形成一部分解決方案，彌補市場和技術的空白。

之所以說一部分解決方案，是我們清晰地認識到，加密威脅也分很多等級，有很多加密的威脅確實是最高級別的對抗，我們暫時還無法做到精準檢測與防御，這也是我們未來持續努力和創新的目標。

產品方面，當前觀成科技已發布多款產品，包括瞰云-加密威脅智能檢測系統、瞰云-智能威脅檢測系統、瞰影-加密業務監控分析系統等。其中，瞰云-加密威脅智能檢測系統是將人工智能（AI）技術與安全檢測技術相結合，具有完全自主知識產權的一款針對惡意加密威脅進行有效檢測與防御的創新型安全檢測產品。

技術方面，產品充分利用了多種檢測技術，有效解決了惡意加密流量檢測的難題，彌補了市場和技術空白，可實現對惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應用進行有效檢測和防御。瞰影-加密業務監控分析系統是在密碼技術研究的基礎上，結合密碼分析與人工智能技術，以密碼對抗的視角實現各類加密業務、加密協議的識別與分類、異常性檢測、合規性檢測以及密碼業務安全態勢分析。

自2019年3月發布產品以來，公司目前服務了多個重點行業的數十家客戶，并被國內多個龍頭國企、安全廠商選為合作伙伴，公司的產品和技術受到廣大好評，并在大量現網中進行驗證取得了一批實戰成果。

記者：請您談談觀成科技未來戰略規劃及布局。

于海東：首先，通過這兩年多的跟蹤，我們確信，威脅的加密化和用戶網絡加密化已經不可逆轉，無論是威脅還是用戶網絡加密的比例只會越來越高。加密網絡空間的安全防御是必然，但這個方向又比較難，所以在較長一段時間內我們一定會專注于加密網絡空間的防御，不斷地突破和創新。

其次，這兩年我們關注到越來越多的行業客戶對于加密流量的檢測和防御需求越來越旺盛，我們會不斷攻克技術難題、打磨產品，為更多行業客戶提供我們的產品和服務，為客戶網絡安全防御體系貢獻一份力量。