本刊記者 王 超

于海東，北京觀成科技有限公司聯(lián)合創(chuàng)始人，安全分析實(shí)戰(zhàn)專(zhuān)家。曾在兩家安全公司負(fù)責(zé)逆向分析、安全分析、應(yīng)急響應(yīng)等工作，并帶隊(duì)參與數(shù)十起重大安全事件進(jìn)行應(yīng)急響應(yīng)，服務(wù)過(guò)上百家重要行業(yè)客戶。2015年至2019年期間，獨(dú)立打造多套完整的加密流量檢測(cè)、逆向分析培訓(xùn)課程體系，廣受行業(yè)用戶好評(píng)。

隨著大眾網(wǎng)絡(luò)安全意識(shí)的穩(wěn)步提升，對(duì)數(shù)據(jù)保護(hù)的意識(shí)也愈加強(qiáng)烈。對(duì)于特定類(lèi)型的網(wǎng)絡(luò)通信，加密甚至已成為法律的強(qiáng)制性要求，加密在保護(hù)隱私的同時(shí)也給網(wǎng)絡(luò)安全帶來(lái)了新的隱患。攻擊者將加密作為隱蔽的通道，加密流量給攻擊者隱藏其命令與控制活動(dòng)提供了可乘之機(jī)。

目前，傳統(tǒng)的流量檢測(cè)方法顯得“捉襟見(jiàn)肘”，無(wú)法適應(yīng)現(xiàn)在威脅加密化的新形勢(shì)。不僅如此，面對(duì)變種惡意程序以及未知加密威脅則更是無(wú)能為力。像“冰蝎”“哥斯拉”等這種WEBSHELL工具，在某些特定的場(chǎng)景下，還可以通過(guò)解密后再對(duì)其明文流量進(jìn)行檢測(cè)，但這種方案卻無(wú)法有效應(yīng)對(duì)加密通信的反彈馬，無(wú)論是基于標(biāo)準(zhǔn)的SSL/TLS協(xié)議通信，還是其他的加密通信類(lèi)型。

如何在不解密的情況下發(fā)現(xiàn)惡意加密流量則成為我們必須要面對(duì)的問(wèn)題。為此，雜志社采訪到了觀成科技聯(lián)合創(chuàng)始人于海東，就有關(guān)問(wèn)題進(jìn)行了深入訪談。

記者：請(qǐng)您談?wù)?，目前?guó)內(nèi)企業(yè)網(wǎng)加密流量的整體情況。

于海東：當(dāng)前，加密流量占比直線上升，威脅加密化已成為主流，有超過(guò)一半的企業(yè)網(wǎng)絡(luò)流量已經(jīng)被加密，加密流量中隱藏著大量的惡意流量，所面臨的各類(lèi)安全風(fēng)險(xiǎn)超乎我們的想象。從我們監(jiān)測(cè)分析的數(shù)據(jù)來(lái)看，每10個(gè)惡意程序中就有超過(guò)4個(gè)會(huì)使用加密通信，而像這樣使用加密通信的惡意程序每天新增的數(shù)量超過(guò)1000個(gè)。傳統(tǒng)的流量檢測(cè)方法大多都是基于規(guī)則，或者對(duì)流量中提取文件后再進(jìn)行檢測(cè)，可當(dāng)面對(duì)加密流量時(shí)，這些檢測(cè)方法將不再適用。加密流量中隱藏的如何有效地檢測(cè)和防御加密流量中的安全風(fēng)險(xiǎn)是業(yè)內(nèi)亟待解決的難題。

加密和明文流量檢測(cè)雖然同屬流量安全的范疇，但是兩種檢測(cè)是兩個(gè)不同的課題。加密流量檢測(cè)與傳統(tǒng)明文流量檢測(cè)的根本差異在于無(wú)法獲知加密數(shù)據(jù)信息，因此無(wú)法對(duì)加密會(huì)話所傳遞信息的內(nèi)容進(jìn)行檢測(cè)。傳統(tǒng)明文檢測(cè)產(chǎn)品中使用的規(guī)則匹配、載荷還原檢測(cè)等流量檢測(cè)技術(shù)無(wú)法適用于加密流量。舉一個(gè)簡(jiǎn)單的例子，某些基于明文通信的惡意流量，如攻擊流量、木馬通信流量等，基本上都可以找到關(guān)鍵的字符、特征來(lái)匹配。但數(shù)據(jù)一旦加密，呈現(xiàn)的信息就極少，很難匹配明顯的規(guī)則。

近幾年加密威脅檢測(cè)在國(guó)內(nèi)外也逐步受到重視和關(guān)注。美國(guó)、以色列等國(guó)家的多個(gè)龍頭企業(yè)、創(chuàng)業(yè)公司從2016、2017年起就逐步推出了加密流量檢測(cè)相關(guān)的產(chǎn)品和解決方案；國(guó)內(nèi)的研究機(jī)構(gòu)、高校、安全廠家從2017、2018年陸續(xù)開(kāi)展研究和相關(guān)產(chǎn)品研發(fā)，2019年，國(guó)內(nèi)多個(gè)主管部門(mén)發(fā)布的相關(guān)文件也首次強(qiáng)調(diào)了提升加密通信防御能力、加密流量的檢測(cè)和防御。2020年1月1日，《中華人民共和國(guó)密碼法》正式實(shí)施，給加密威脅檢測(cè)、加密業(yè)務(wù)安全方向帶來(lái)了重大利好。

記者：用戶在加密流量中主要面臨哪些問(wèn)題？又將怎樣解決？

于海東：加密流量如今成為大多政企客戶安全管理的一個(gè)難題，里面跑的什么不知道、有沒(méi)有威脅和風(fēng)險(xiǎn)不知道。總結(jié)起來(lái)，主要面臨以下三個(gè)問(wèn)題。

一是識(shí)別。每天有大量的外聯(lián)加密流量，到底都是什么業(yè)務(wù)？無(wú)法識(shí)別超過(guò)60%的加密流量，對(duì)于網(wǎng)絡(luò)安全管理來(lái)說(shuō)，就是一個(gè)危險(xiǎn)的盲區(qū)。

二是發(fā)現(xiàn)。大量的加密流量，到底有沒(méi)有人在攻擊我？都有哪些風(fēng)險(xiǎn)？如何去發(fā)現(xiàn)加密流量中的各類(lèi)威脅行為，是絕大多數(shù)網(wǎng)絡(luò)安全管理方正在面臨的一個(gè)難題。

三是授權(quán)。到底有哪些人在沒(méi)有經(jīng)過(guò)授權(quán)的情況下使用翻墻軟件或者VPN？當(dāng)前的網(wǎng)絡(luò)環(huán)境中，存在大量的惡意或者非法的翻墻軟件、VPN等。這類(lèi)灰色應(yīng)用如果不加以識(shí)別和管控，除了有潛在的信息泄露的風(fēng)險(xiǎn)，還極有可能成為某些高級(jí)威脅信息傳輸?shù)耐ǖ馈?/p>

從根本上講，加密威脅檢測(cè)是一個(gè)體系化的問(wèn)題，很難用單一的模型或者單一的方法來(lái)解決，不同的威脅類(lèi)型要有不同的解決方案。加密流量的內(nèi)容雖然無(wú)法直接檢測(cè)，但是可以從很多其他角度對(duì)加密流量進(jìn)行分析，這些角度包括：

（1）微觀層面：兩個(gè)通信主體間的單次加密會(huì)話特性；

（2）中觀層面：兩個(gè)通信主體間的多次加密會(huì)話特性；

（3）宏觀層面：某固定時(shí)間段、固定網(wǎng)絡(luò)中所有通信主體間的會(huì)話特性。

通過(guò)對(duì)微觀、中觀、宏觀三個(gè)層面的特征進(jìn)行提取、選擇后，結(jié)合AI多模型、行為分析以及規(guī)則檢測(cè)等，最終形成一整套針對(duì)惡意加密流量的檢測(cè)體系。

例如，我司的瞰云-加密威脅智能檢測(cè)系統(tǒng)就是充分利用人工智能優(yōu)勢(shì)特點(diǎn)，有效解決了惡意加密流量檢測(cè)的難題，彌補(bǔ)了市場(chǎng)和技術(shù)空白，可實(shí)現(xiàn)對(duì)惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應(yīng)用進(jìn)行有效檢測(cè)和防御。

瞰云-加密威脅智能檢測(cè)系統(tǒng)主要功能由三個(gè)模塊組成：加密通道攻擊檢測(cè)分析、使用加密通信的惡意軟件&惡意應(yīng)用檢測(cè)分析、密數(shù)據(jù)挖掘分析。

加密通道攻擊檢測(cè)分析：主要是針對(duì)SSL、SSH、RDP等加密通道的攻擊行為檢測(cè)，檢測(cè)方法包括行為檢測(cè)、規(guī)則檢測(cè)、流簽名檢測(cè)、指紋檢測(cè)、登錄行為檢測(cè)等。

使用加密通信的惡意軟件&惡意應(yīng)用檢測(cè)分析：主要是針對(duì)使用加密通信的惡意軟件、惡意應(yīng)用進(jìn)行檢測(cè)和識(shí)別，檢測(cè)方法包括行為檢測(cè)、AI多模型檢測(cè)、規(guī)則檢測(cè)等。

密數(shù)據(jù)挖掘分析：主要是針對(duì)網(wǎng)絡(luò)中所有密數(shù)據(jù)進(jìn)行深度挖掘、關(guān)聯(lián)分析，包括對(duì)密數(shù)據(jù)的信息提取、特征提取、單流畫(huà)像、多流畫(huà)像，以及對(duì)SSL加密數(shù)據(jù)的基礎(chǔ)識(shí)別、應(yīng)用識(shí)別、分類(lèi)識(shí)別和算法識(shí)別等。

記者：有人說(shuō)，人工智能用于加密流量安全檢測(cè)將是一種新技術(shù)手段。對(duì)此，您是怎么看的？

于海東：確實(shí)是這樣。傳統(tǒng)流量安全檢測(cè)技術(shù)在處理加密流量時(shí)遇到了困難，一直沒(méi)有比較好的檢測(cè)方法。而人工智能基于特征提取和行為分析的方法，可以在不解密報(bào)文的情況下，提煉出惡意軟件的特性，從而識(shí)別出有害威脅，是一種非常好的輔助手段。

之所以定位為輔助手段，是因?yàn)榧用芡{是一個(gè)極其復(fù)雜的體系化問(wèn)題，不能僅僅依靠人工智能算法就完全解決。我們通過(guò)搜集和分析典型的惡意軟件家族樣本，并對(duì)其通信模塊、加解密方法等進(jìn)行了大量分析工作后，發(fā)現(xiàn)惡意軟件使用加密通信的方式是多樣的，概括起來(lái)主要有以下四種形式：

（1）基于標(biāo)準(zhǔn)加密通信協(xié)議，如SSL/TLS協(xié)議；

（2）基于自定義加密通信協(xié)議，如TCP自定義加密通信協(xié)議和UDP自定義加密通信協(xié)議；

（3）基于標(biāo)準(zhǔn)協(xié)議的隱蔽隧道，如ICMP隱蔽隧道、DNS隱蔽隧道、HTTP隱蔽隧道等；

（4）基于標(biāo)準(zhǔn)協(xié)議的偽裝協(xié)議，如TLS偽裝類(lèi)協(xié)議、HTTP偽裝類(lèi)協(xié)議等。

像上面的這些惡意加密通信類(lèi)型，有一些適合通過(guò)人工智能的方式來(lái)檢測(cè)，且僅僅是輔助手段；還有一些則不一定適合，不同的情況必須要有針對(duì)性的解決方案才能有效應(yīng)對(duì)。

記者：在您看來(lái)，一個(gè)科學(xué)合理的加密流量安全檢測(cè)防御體系應(yīng)該是怎樣的？在這方面，觀成科技是如何深耕布局的？

于海東：我個(gè)人認(rèn)為一個(gè)科學(xué)合理的加密流量檢測(cè)防御體系應(yīng)該是具備全面性、專(zhuān)業(yè)性和友好性三個(gè)要素。根據(jù)我們對(duì)加密流量的理解，我們將惡意加密流量分成以下三大類(lèi)：

惡意軟件使用加密通信：這一類(lèi)主要是指惡意代碼、惡意軟件為逃避安全產(chǎn)品和人工檢測(cè)，使用加密通信來(lái)偽裝或隱藏明文流量特征。例如特洛伊木馬、感染式病毒、蠕蟲(chóng)病毒、下載器等。

加密通道中的惡意攻擊行為：這一類(lèi)主要是指攻擊者利用已建立好的加密通道發(fā)起攻擊。攻擊行為包括掃描探測(cè)、暴力破解等。

惡意或非法加密應(yīng)用：這一類(lèi)主要是指使用加密通信的一些惡意、非法應(yīng)用，例如Tor瀏覽器、無(wú)界瀏覽、自由門(mén)、賽風(fēng)VPN，以及一些黑客工具如“冰蝎”“哥斯拉”等。

首先是全面性。目前我們的瞰云-加密威脅智能檢測(cè)系統(tǒng)能夠?qū)σ陨先?lèi)威脅進(jìn)行有效檢出。覆蓋的使用加密通信的惡意軟件家族超過(guò)了200種，覆蓋的流行黑客工具超過(guò)50款，我們也在持續(xù)跟進(jìn)新出現(xiàn)的以及變種的惡意軟件或者黑客工具等。

其次是專(zhuān)業(yè)性。前面我們提到過(guò)，惡意加密流量是極其復(fù)雜的，不存在一種能夠檢測(cè)所有威脅類(lèi)型的解決方案。針對(duì)不同類(lèi)型的加密威脅，必須要制定相應(yīng)的檢測(cè)辦法。比如，針對(duì)惡意軟件加密通信，我們就內(nèi)置了四個(gè)檢測(cè)引擎，分別對(duì)標(biāo)準(zhǔn)加密協(xié)議通信、自定義協(xié)議加密通信、隱蔽隧道加密通信以及偽裝協(xié)議加密通信進(jìn)行檢測(cè)。

最后是關(guān)于客戶的友好性。我們的產(chǎn)品用到了人工智能技術(shù)，而人工智能用于加密流量檢測(cè)時(shí)的一個(gè)比較突出的問(wèn)題就是可解釋性差。為了解決這類(lèi)問(wèn)題，我們?cè)诋a(chǎn)品中設(shè)計(jì)了比較獨(dú)特的報(bào)警呈現(xiàn)界面，我們稱(chēng)為“魚(yú)骨圖”。通過(guò)“魚(yú)骨圖”這種可視化的方式將加密威脅的各個(gè)異常特征呈現(xiàn)出來(lái)，這樣，只要有一定網(wǎng)絡(luò)協(xié)議基礎(chǔ)的用戶就可以快速理解產(chǎn)品報(bào)警的原因是什么，較好地解決了可解釋性差的問(wèn)題。

記者：作為一家長(zhǎng)期專(zhuān)注于加密流量檢測(cè)與防御的企業(yè)，觀成科技在技術(shù)創(chuàng)新、產(chǎn)品研發(fā)等方面取得了哪些進(jìn)展？

于海東：我們創(chuàng)業(yè)兩年多，最大的收獲有兩點(diǎn)：一是我們真正了解了哪些威脅在使用加密通信、使用什么方式在加密；二是找到了一部分解決方案，可以對(duì)部分加密威脅形成檢測(cè)和防御能力。我覺(jué)得我們?cè)诩夹g(shù)和產(chǎn)品上最大的創(chuàng)新在于如何清晰地掌握加密威脅、并能快速形成一部分解決方案，彌補(bǔ)市場(chǎng)和技術(shù)的空白。

之所以說(shuō)一部分解決方案，是我們清晰地認(rèn)識(shí)到，加密威脅也分很多等級(jí)，有很多加密的威脅確實(shí)是最高級(jí)別的對(duì)抗，我們暫時(shí)還無(wú)法做到精準(zhǔn)檢測(cè)與防御，這也是我們未來(lái)持續(xù)努力和創(chuàng)新的目標(biāo)。

產(chǎn)品方面，當(dāng)前觀成科技已發(fā)布多款產(chǎn)品，包括瞰云-加密威脅智能檢測(cè)系統(tǒng)、瞰云-智能威脅檢測(cè)系統(tǒng)、瞰影-加密業(yè)務(wù)監(jiān)控分析系統(tǒng)等。其中，瞰云-加密威脅智能檢測(cè)系統(tǒng)是將人工智能（AI）技術(shù)與安全檢測(cè)技術(shù)相結(jié)合，具有完全自主知識(shí)產(chǎn)權(quán)的一款針對(duì)惡意加密威脅進(jìn)行有效檢測(cè)與防御的創(chuàng)新型安全檢測(cè)產(chǎn)品。

技術(shù)方面，產(chǎn)品充分利用了多種檢測(cè)技術(shù)，有效解決了惡意加密流量檢測(cè)的難題，彌補(bǔ)了市場(chǎng)和技術(shù)空白，可實(shí)現(xiàn)對(duì)惡意代碼使用加密通信、加密通道中的惡意攻擊行為、惡意或非法加密應(yīng)用進(jìn)行有效檢測(cè)和防御。瞰影-加密業(yè)務(wù)監(jiān)控分析系統(tǒng)是在密碼技術(shù)研究的基礎(chǔ)上，結(jié)合密碼分析與人工智能技術(shù)，以密碼對(duì)抗的視角實(shí)現(xiàn)各類(lèi)加密業(yè)務(wù)、加密協(xié)議的識(shí)別與分類(lèi)、異常性檢測(cè)、合規(guī)性檢測(cè)以及密碼業(yè)務(wù)安全態(tài)勢(shì)分析。

自2019年3月發(fā)布產(chǎn)品以來(lái)，公司目前服務(wù)了多個(gè)重點(diǎn)行業(yè)的數(shù)十家客戶，并被國(guó)內(nèi)多個(gè)龍頭國(guó)企、安全廠商選為合作伙伴，公司的產(chǎn)品和技術(shù)受到廣大好評(píng)，并在大量現(xiàn)網(wǎng)中進(jìn)行驗(yàn)證取得了一批實(shí)戰(zhàn)成果。

記者：請(qǐng)您談?wù)動(dòng)^成科技未來(lái)戰(zhàn)略規(guī)劃及布局。

于海東：首先，通過(guò)這兩年多的跟蹤，我們確信，威脅的加密化和用戶網(wǎng)絡(luò)加密化已經(jīng)不可逆轉(zhuǎn)，無(wú)論是威脅還是用戶網(wǎng)絡(luò)加密的比例只會(huì)越來(lái)越高。加密網(wǎng)絡(luò)空間的安全防御是必然，但這個(gè)方向又比較難，所以在較長(zhǎng)一段時(shí)間內(nèi)我們一定會(huì)專(zhuān)注于加密網(wǎng)絡(luò)空間的防御，不斷地突破和創(chuàng)新。

其次，這兩年我們關(guān)注到越來(lái)越多的行業(yè)客戶對(duì)于加密流量的檢測(cè)和防御需求越來(lái)越旺盛，我們會(huì)不斷攻克技術(shù)難題、打磨產(chǎn)品，為更多行業(yè)客戶提供我們的產(chǎn)品和服務(wù)，為客戶網(wǎng)絡(luò)安全防御體系貢獻(xiàn)一份力量。