華為智簡(jiǎn)園區(qū)加密通信分析（ECA）技術(shù)白皮書(shū)華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)摘 華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)摘 要摘 要Gartner2019ECA(EncryptedCommunicationAnalytics)ECA華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)目 華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)目 錄目 摘 要 概述 1產(chǎn)生背景 1解決思路 1客戶價(jià)值 2可獲得性 2實(shí)現(xiàn)原理 3方案架構(gòu) 3方案實(shí)現(xiàn) 4樣本數(shù)據(jù) 4白樣本 4黑樣本 5特性分析 5加密流量常行關(guān)聯(lián) 5上下文流量信關(guān)聯(lián) 5樣本數(shù)據(jù)析 6機(jī)器學(xué)習(xí) 6數(shù)據(jù)特征 6TLS握手信息特征 7統(tǒng)計(jì)特征 9DNS信息特征 10HTTP信息特征可選） 11CIS系統(tǒng)原理 11大數(shù)據(jù)采集理 12大數(shù)據(jù)分析原理 典型場(chǎng)景 14場(chǎng)景描述 14部署說(shuō)明 14典型配置 15A縮略語(yǔ) 1華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)1華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū) 1概述產(chǎn)生背景HTTPS。Gartner2019年，80％的Gartner2019如何識(shí)別加密威脅？解決思路ECA(EncryptedCommunicationAnalytics)客戶價(jià)值防未知加密威脅攻擊在不破壞數(shù)據(jù)完整性的前提下，快速幫助客戶發(fā)現(xiàn)加密流量中潛伏的惡意C&C通信，從而及時(shí)進(jìn)行處置處理。可獲得性產(chǎn)品最低支持版本CISV100R003C30LSW(S5720HI/S5730HI/S6720HI)V200R013C002實(shí)現(xiàn)原理華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)2實(shí)現(xiàn)原理華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū) 2實(shí)現(xiàn)原理方案架構(gòu)CIS流量ECAECAECA（CIS系統(tǒng)中。ECACISECACISECA方案實(shí)現(xiàn)整個(gè)ECA工作分為3大部分：、SSLCISECAECATLS統(tǒng)計(jì)信息，DNS/HTTPCISCISECAC&CAPT樣本數(shù)據(jù)對(duì)訓(xùn)練、測(cè)試集分別統(tǒng)計(jì)以下特性，用來(lái)評(píng)估樣本的典型性、代表性。白樣本瀏覽器客戶端在樣本中的比例各種常見(jiàn)瀏覽器及版本：Firefox,chrome,safari,opera,ie(edge),sougou,qq,liebao,360版本分布TLS參數(shù):加密套件與壓縮算法等自簽名樣本比例客戶端、服務(wù)器雙向認(rèn)證比例黑樣本惡意樣本的家族（指定AV反病毒引擎給定的家族名稱及無(wú)家族）及數(shù)據(jù)量客戶端、服務(wù)器雙向認(rèn)證比例惡意樣本訪問(wèn)正常網(wǎng)站比例服務(wù)端口分布IP分布TLS版本分布TLS參數(shù)客戶端TLS庫(kù)種類及分布自簽名樣本比例特性分析IPIPSCISHTTPSDNSHTTP請(qǐng)求的流量等，關(guān)聯(lián)相同源IPIPHTTPDNS請(qǐng)求。針對(duì)DNS，IPIPDGAIPIP求；敏感數(shù)據(jù)外傳的場(chǎng)景下，有大量的DNSHTTP，可能C&C傳等。DNSHTTPHTTP流，響應(yīng)字節(jié)數(shù)/User-AgentHTTPReference）等。（輔助的手段：黑樣本加密流量的分析，不同家族的樣本的流量是否有區(qū)別，不同階段（下載、C&C、數(shù)據(jù)外傳等）的流量的差別，嘗試能夠從流量特征得出家族和攻擊的階段信息。機(jī)器學(xué)習(xí)（RF）型。數(shù)據(jù)特征本方案主要使用了四大類數(shù)據(jù)特征，如下：TLSTLSIPDNSTLSIPHTTP信息特征TLS一條完整的TLS握手信息至少應(yīng)包含ClientHello消息，ServerHello消息，客戶端到服務(wù)端的ChangeCipherSpec消息，服務(wù)端到客戶端的ChangeCipherSpec消息。TLSClientHello（CipherSuites）extensions列表。TLSServerHelloClientHelloSupportCipherSuitesextension的列表。TLS握手過(guò)程中，服務(wù)器端會(huì)通過(guò)Certificate消息將自己的證書(shū)下發(fā)給客戶端，讓客戶端驗(yàn)證自己的身份。證書(shū)中可提取的特征包括證書(shū)有效期、SAN數(shù)量、證書(shū)鏈長(zhǎng)度等信息。TLS握手的第三步為客戶端發(fā)送ClientKeyExchange，client拿到server的certificatecertificatepublicsession基于如上描述，TLS握手信息中提取的字段數(shù)據(jù)如下：1CipherSuitesTLS客戶端支持加密套件列表2SelectedTLS服務(wù)器端選擇的加密套件3Client_ExtensionTLS客戶端支持的extension列表4Server_ExtensionTLS服務(wù)器端選擇的extension列表5Client_Key_Exchange_LenTLS握手過(guò)程中ClientKeyExchange消息的負(fù)載長(zhǎng)度6Server_Key_Exchange_LenTLS握手過(guò)程中ServerKeyExchange消息的負(fù)載長(zhǎng)度7Cert_Duration服務(wù)器葉證書(shū)的有效期(單位天)8Self_Signed服務(wù)器葉證書(shū)是否為自簽名證書(shū)9SAN服務(wù)器葉證書(shū)中的SAN數(shù)量10Cert_Nums服務(wù)器證書(shū)鏈中的證書(shū)數(shù)量11isCA服務(wù)器葉證書(shū)是否自稱為CA證書(shū)TCP統(tǒng)計(jì)特征IPIP1DurationTCP流的持續(xù)時(shí)間，時(shí)間單位毫秒2src_packets(max,min,mean,std)TCP連接過(guò)程中發(fā)送的所有有負(fù)載(最多150)的包的最大負(fù)載長(zhǎng)度，最小負(fù)載長(zhǎng)度，平均值和標(biāo)準(zhǔn)差3src_times(max,min,mean,std)TCP連接過(guò)程中發(fā)送的所有有負(fù)載的包的間隔時(shí)間(毫秒)的最大值，最小值，平均值，標(biāo)準(zhǔn)差4dst_packets(max,min,mean,std)TCP連接過(guò)程中接收的所有有負(fù)載的包的最大負(fù)載長(zhǎng)度，最小負(fù)載長(zhǎng)度，平均值和標(biāo)準(zhǔn)差5dst_times(max,min,mean,std)TCP連接過(guò)程中接收的所有有負(fù)載的包的間隔時(shí)間的最大值，最小值，平均值，標(biāo)準(zhǔn)差6Bytes.srcTCP連接過(guò)程中發(fā)送的總字節(jié)數(shù)7Num.srcTCP連接過(guò)程中發(fā)送的總包數(shù)8Bytes.dstTCP連接過(guò)程中接收的總字節(jié)數(shù)9Num.dstTCP連接過(guò)程中接收的總包數(shù)10BDTCP負(fù)載中的字節(jié)分布情況，詳細(xì)描述11Packet_stateTCP連接過(guò)程中有負(fù)載的前20個(gè)包的包長(zhǎng)轉(zhuǎn)移概率矩陣12Time_stateTCP連接過(guò)程中有負(fù)載的前20個(gè)包的間隔時(shí)間轉(zhuǎn)移概率矩陣DNS根據(jù)TCP連接中服務(wù)端的IP，和DNS查詢中的IP查詢結(jié)果進(jìn)行匹配，可查詢到目的IP對(duì)應(yīng)的域名，發(fā)送給大數(shù)據(jù)平臺(tái)進(jìn)行知名網(wǎng)站的匹配。1Suffix目的IP關(guān)聯(lián)的域名后綴2TTL目的IP關(guān)聯(lián)的域名的生存時(shí)間3domain_num_count目的IP關(guān)聯(lián)的域名中數(shù)字的個(gè)數(shù)4domain_nonAlpha目的IP關(guān)聯(lián)的域名中符號(hào)的個(gè)數(shù)5domain_len目的IP關(guān)聯(lián)的域名長(zhǎng)度6ip_address_count目的IP關(guān)聯(lián)的DNSResponse消息中返回的IP數(shù)量7DNS_Alexa目的IP關(guān)聯(lián)的域名在Alex中的排序HTTP（）TLSTLShttp報(bào)文，如IPHTTP1User_Agent源IP關(guān)聯(lián)的HTTPRequest消息中的User_Agent字段2Client_Content_TypeIPHTTPRequestcontent_type字段3Server源IP關(guān)聯(lián)的HTTPResponse消息中的server字段4Server_Content_TypeIPHTTPResponsecontent_type字段CIS系統(tǒng)原理CIS（cybersecurityintelligencesystem）APTAPTCIS包含數(shù)據(jù)采集。數(shù)據(jù)處理、威脅檢測(cè)、威脅呈現(xiàn)等多個(gè)功能模塊。在ECA檢測(cè)功能中，主要涉及數(shù)據(jù)采集、威脅分析檢測(cè)。

數(shù)據(jù)預(yù)處理原理分布式存儲(chǔ)原理分布式存儲(chǔ)負(fù)責(zé)對(duì)格式化后的數(shù)據(jù)進(jìn)行存儲(chǔ)，針對(duì)不同類型的異構(gòu)數(shù)據(jù)（歸一化日PCAP文件/分布式索引原理/事件關(guān)聯(lián)分析原理WEB異常檢測(cè)原理WEBWEBHTTP協(xié)議中的URL、User-Agent、Refer和上傳下載的MD5C&C異常檢測(cè)

C&C（DNS/HTTP/TLS/3,4）C&C通信異常。DNSC&CDGAAPT3,4C&C異常檢測(cè)根據(jù)CC，分析CC測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的CCHTTPC&CIP+

/MD5和URL3典型場(chǎng)景華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)3典型場(chǎng)景華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū) 3典型場(chǎng)景ECACIS場(chǎng)景描述敏捷園區(qū)場(chǎng)景由于ECA檢測(cè)當(dāng)前主要針對(duì)南北向出口流量，所以一般ECA探針主要部署在總部出口或數(shù)據(jù)中心出口，提取加密流量特征；CIS系統(tǒng)（ECA分析檢測(cè)）作為威脅檢測(cè)平臺(tái)部署在總部的管理區(qū)；部署說(shuō)明1ECA2、ECA探針類型選擇上主要考慮如下幾個(gè)技術(shù)因素：（；ECACISCIS>ECA。3、CIS系統(tǒng)一般部署在管理區(qū)，具體選型需要根據(jù)實(shí)際流量大小選擇對(duì)應(yīng)的配置典型配置CIS選型標(biāo)準(zhǔn)化部署:：大于2Gbps以上業(yè)務(wù)流量流探針：高配支持10Gbps混合流量或1GbpsDNS流量。低配支持500Mbps混合流量或50MbpsDNS流量。11節(jié)點(diǎn)，11臺(tái)硬件服務(wù)器，可擴(kuò)容小型化部署：2Gbps640），200MbpsDNS流量（128）流量+1Gbps+1000EPS日志4節(jié)點(diǎn)，4臺(tái)硬件服務(wù)器單機(jī)版部署：1Gbps640），100MbpsDNS流量（128字節(jié)）。流量+500Mbps+1000EPS日志日志處理能力：峰值1000EPS（EventperSecond），單條日志平均長(zhǎng)度不超過(guò)400字節(jié)。1臺(tái)硬件服務(wù)器，4個(gè)虛機(jī)園區(qū)交換機(jī)S5720HI/S5730HI/S6720HI典型部署：/ECAECAA縮略語(yǔ)華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū)A縮略語(yǔ)華為智簡(jiǎn)園區(qū)加密通信分析技術(shù)白皮書(shū) A縮