什麼是ETA?
- 通過收集來自全新 Catalyst® 9000 交換機和 Cisco 4000 系列集成多業務路由器的增強型 NetFlow 信息,再與思科 Stealthwatch 的高級安全分析能力進行組合,從而檢測加密流量中的惡意病毒。
- 思科通過優化自己的ASIC,可以保證高速實時地進行分析,而且不會影響轉發性能
- 能夠實現對加密流量進行準確性高達99%的威脅檢測,同時實現低於0.01%的誤報率
- 使用機器學習技術來分析元數據流量,在加密流量中發現已知威脅
- 使用思科Talos團隊提供的網絡情報來檢測已知攻擊簽名,加密流量中的已知攻擊簽名亦可被檢測出來。
一經發現惡意加密的流量,StealthWatch會對其可以阻斷或隔離。
ETA的重要組成部分
Enhanced NetFlow
數據收集包括一組記錄,每個記錄基於模板的格式,每個記錄包括一序列的NetFlow信息元素field,以及每個field對應的具體數值。
包括一條流的五元組信息(IP地址、端口號、協議號),以及報文字節數統計、時間戳,TLS特徵等等。
從如上圖可以看出,在網元上(交換機或者路由器)通過Enhanced NetFlow收集數據流特徵。
Stealthwatch認知分析
思科Stealthwatch基於NetFlow、代理服務器、端點遙測、策略訪問引擎。
Stealthwatch集成認知分析以及基於雲的分析引擎,使得StealthWatch可以關聯業務的全球威脅行爲,自動識別被感染主機、指揮控制網絡通信、隔離可疑流量。
在加密數據中提取多個特徵,關聯思科安全大數據中的 Security Map,尋找惡意軟件的痕跡,通過全局到局部的認知關聯提高病毒威脅檢測的精度。
認知分析維護一個全局風險地圖(global risk map),這個風險地圖擁有關於互聯網服務器的廣泛行爲概況,識別與攻擊相關的服務器、可能會被利用或者將被用作攻擊一部分的服務器。應用機器學習、統計建模的方式對加密數據進行分析。
認知分析引擎
認知分析引擎分爲三個層:
-
第一個層次決定流量是否是可信的、是否是異常的,從而檢測出異常流量繼續走第二個層次。
-
第二個層次對異常流量進行事件分類和實體建模。
-
第三個層次進程關係建模,從而檢測出威脅流量。
數據流信息提取
ETA提取數據流的4個要素包括:
-
數據流的前幾個報文的數據包長度(數據包應用載荷的字節數,16位整數值)以及報文發送間隔時間順序(毫秒,16位整數值)。根據這些發現,獲得加密數據的流量模型, 也可以爲加密流量傳輸的流量內容提供重要線索。
-
數據包字節分佈,通過字節分佈可以發現一個特定的字節數值在報文載荷中出現的頻率。每個頻繁爲16位整數值。
-
TLS特徵,包括TLS記錄、TLS記錄長度、TLS記錄時間間隔、TLS內容類型、TLS握手類型、TLS密碼套件、TLS擴展、TLS擴展長度、TLS擴展類型、TLS版本、客戶端的公鑰長度、TLS會話ID、TLS hello報文中觀察到的隨機值。
-
初始數據包,獲取數據流的第一個報文內容(從IP報文首部開始),可以提前關鍵數據。這一明文數據包可能包含加密相關的寶貴數據,如加密採用的HTTP URL、DNS主機名、TLS版本、算法、證書、TLS擴展選項等。
報文長度和報文發送間隔分析
正常報文
上圖是正常訪問google頁面時TLS會話中的報文發送長度、報文發送間隔。X軸代表時間,Y軸向上代表客戶端發送給服務端的報文大小,Y軸向下代表服務端發送給客戶端的報文大小。
紅色的代表未加密數據,黑色的線代表加密數據。
Google查詢是一個經典模式,客戶端的請求初始報文是一個很小的數據包,之後伴隨服務端發送大量的應答報文,這些應答報文的大小都達到了MTU限制。
病毒報文(病毒樣本bestafera)
上圖是病毒樣本bestafera發起的TLS會話。整個過程包括簽名證書、數據泄露、C2信息。
病毒樣本bestafera服務端在客戶端發起連接後,發送一個簽名證書給客戶端。在完成握手之後,客戶端開始向服務端發送泄露的數據。之後停頓了一下,然後服務器發送了一個定時調度命令和控制消息。
綜上,報文長度和報文發送間隔雖然不能提供關於TLS會話報文的深刻洞察,但是可以方便推論TLS會話行爲。
TLS元數據中應用指紋識別
TLS ClientHello報文中提供了兩個重要的信息用來區分不同的TLS庫和應用程序。客戶端爲服務器提供一組客戶端排好序的密碼套件列表。每個密碼套件定義了一組方法,如加密算法和僞隨機函數,這些方法用於TLS會話連接和數據傳輸。客戶端還可以提供一組TLS擴展,爲服務端提供必要的參數做祕鑰交換,比如ec_point_formats。
大量的用戶級應用以及大量的TLS連接擴展都使用了常用的TLS庫,比如BoringSSL、NSS、 OpenSSL。由於應用開發者通常會修改TLS庫的默認參數以優化應用程序,所以這些應用程序通常有獨特唯一的TLS指紋。
bestafera的TLS指紋是獨特的,它使用OpenSSL 1.0.1r的默認設置創建TLS連接。
機器學習
聚焦於三種數據類型的簡單特徵表示,包括NetFlow、報文長度、TLS ClientHello報文中攜帶的信息。這些數據類型都是從單一的TLS會話中獲取。通過開發模型來合併不同的數據流特徵。
在機器學習之前,需要將所有的數據特徵進行標準化,使得這些特徵均值爲0、方差爲1,從而滿足標準正態分佈。
NetFlow特性
利用NetFlow的5個特性:持續的數據流、客戶端發送的報文數、服務端發送的報文數、客戶端發送的報文字節數、服務端發送的報文字節數。
SPL(報文長度序列)
創建length-20的特徵向量,每個條目存儲雙向流的數據包大小。從客戶端到服務端的包大小是正的,從服務端到客戶端的包大小是負的。
TLS元數據
分析TLS ClientHello報文中所提供的密碼套件列表和擴展列表。如176個獨特的密碼套件和21個獨特的擴展,會產生length-197二進制特徵向量。
機器學習
使用scikit-learn隨機森林算法進行機器學習。隨機森林算法通過設置125棵決策樹、在每顆決策樹上設置特徵個數爲所有特徵總數的平方根。隨機森林算法使用的特徵集包括SPL、TLS元數據。
思科試驗數據
從上圖可以看出,當隨機森林算法節點閾值在0.5的時候,病毒檢測准入率可以達到99.35%。
開源工具joy,提供了報文特徵提取方法。
思科Talos
思科Talos是思科的威脅情報組織,專門爲思科客戶、產品和服務提供卓越的保護。藉助上百萬個遙測代理、4個全球數據中心、超過100家威脅情報合作伙伴以及1100個威脅捕獲程序,這個由超過250位安全研究人員和600名軟件工程師組成的團隊已經是目前全球最大的安全研究團隊和分析威脅情報數量最多的組織。
思科Talos採用自動化安全大數據方法分析來自全球的郵件、網站和超過1.5億網絡終端設備的威脅情報,每天可分析全球1/3的郵件總量(6千億封郵件/每天)、超過150萬獨立惡意軟件樣本。
思科Talos每天阻止200億次威脅和8000萬次惡意DNS查詢,接收160億網站請求。Snort、ClamAV等開源工具和平臺正是出自思科Talos之手,同時思科Talos還得到了Senderbase.org和Spamcop.net社區的龐大資源支持。
ThreatGrid
一家惡意軟件技術防護公司,被思科收購。
————————————————
版權聲明:本文爲CSDN博主「b0207191」的原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/b0207191/article/details/88598190