Deciphering Malware’s use of TLS (without Decryption)
郝伟,2021/01/28
论文题目:Deciphering Malware’s use of TLS (without Decryption)
发表级别:Journal of Computer Virology and Hacking Techniques volume 14, pages195–211(2018)
作者列表:Blake Anderson, Subharthi Paul & David McGrew
作者单位:Cisco
下载页面:链接
本文为陈勇推荐的,作为灵源的产品调研的核心论文,是产品技术实现的重要指导文章。文章主要研究了通过对流的识别和分析,证明只通过流量分析的情况下,可以对恶意软件进行识别。
恶意软件对TLS的使用提出了新的挑战网络威胁检测,因为传统的模式匹配技术不能再应用于其消息。然而TLS还引入了一组复杂的可观察数据功能可以对两个客户端进行许多推断和服务器。文章证明了这些功能可以用来同时检测和了解恶意软件通信时间来保护加密的良性使用的私密性。这些数据功能还可以实现准确的恶意软件家族归因网络通信,即使仅限于一个,加密流。为了证明这一点,文章对如何TLS被恶意软件和企业应用程序使用。文章提供对数百万个TLS加密流的一般分析,以及针对18个恶意软件家族的针对性研究独特的恶意软件样本和数万个恶意软件TLS流。重要的是,文章确定并解决偏差通过使用恶意软件沙箱引入。表现恶意软件分类器的数量与恶意软件家族的使用相关TLS,即积极发展其对密码学很难分类。文章得出结论,恶意软件对TLS的使用与企业环境中的良性用法,并且这些差异可以有效地用于规则和机器学习分类器中。
文章就1个问题:
Whether it is possible to detect malware through the passive inspection of TLS.
文章通过实验验证对加密的流量进行分析,以检测出恶意软件行为是可行的。
相关研究工作包括了安全概念模型化和安全概念整合两方面的研究文章。
包括运行在XP系统的沙箱和Cisco企业网络环境(500+员工和4000+独立IP)
文件的数据主要包括以下内容:
文章对流提取了4项数据:
使用了基于逻辑回归的分类器。
文章对相关的参数、配置和数据进行了详细的介绍,最终给出结论:
在不解密的情况下,仅靠对流的分析,能够以90%的准确率检测出恶意流量。