C&C加密信道流量行為分析綜述數(shù)據(jù)集收集與處理實驗數(shù)據(jù)集分為正常加密流量和惡意加密流量兩部分。正常加密流量數(shù)據(jù)集采用加拿大網(wǎng)絡安全研究院（CIC）團隊公開的HTTPS流量公開數(shù)據(jù)集CIRA-CIC-DoHBrw-2020ADDINEN.CITE<EndNote><Cite><Author>Montazerishatoori</Author><Year>2020</Year><RecNum>32</RecNum><DisplayText><styleface="superscript">[20]</style></DisplayText><record><rec-number>32</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620222668">32</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Montazerishatoori,M.</author><author>Davidson,L.</author><author>Kaur,G.</author><author>Lashkari,A.H.</author></authors></contributors><titles><title>DetectionofDoHTunnelsusingTime-seriesClassificationofEncryptedTraffic</title><secondary-title>2020IEEEIntlConfonDependable,AutonomicandSecureComputing,IntlConfonPervasiveIntelligenceandComputing,IntlConfonCloudandBigDataComputing,IntlConfonCyberScienceandTechnologyCongress(DASC/PiCom/CBDCom/CyberSciTech)</secondary-title></titles><dates><year>2020</year></dates><urls></urls></record></Cite></EndNote>[20]。該數(shù)據(jù)集的流量是在2020年初的幾周內(nèi)捕獲的，并提供帶標記的惡意流量和正常流量捕獲文件的數(shù)據(jù)集，本研究只采用其中四個被標記為正常流量的捕獲文件。由于APT攻擊目標明確，往往需要特定的條件才能觸發(fā)攻擊，APT攻擊的公開樣本極少。而且APT攻擊其實并不算一種全新的攻擊類性，更多的是復合多種現(xiàn)有攻擊技術(shù)的一種高級攻擊方式。因此，本研究采用來自多個當前流行的惡意軟件的惡意加密流量作為惡意加密流量數(shù)據(jù)集。這種數(shù)據(jù)集訓練出的檢測模型對來自各類惡意軟件的加密流量都有檢測力，適用于檢測APT這種復合型攻擊技術(shù)。本課題的惡意加密流量都是從ADDINEN.CITE<EndNote><Cite><Author>Duncan</Author><RecNum>33</RecNum><DisplayText><styleface="superscript">[21]</style></DisplayText><record><rec-number>33</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620223209">33</key></foreign-keys><ref-typename="WebPage">12</ref-type><contributors><authors><author>BradDuncan</author></authors></contributors><titles><title>malware-traffic-analysis</title></titles><dates></dates><urls><related-urls><url>/</url></related-urls></urls><custom2>2021-5-5</custom2></record></Cite></EndNote>[21]上獲得。這是一個惡意軟件流量數(shù)據(jù)資源網(wǎng)站，每個惡意樣本都有對應的惡意流量樣本（pcap文件）和相關(guān)的惡意流量IOC，這對標記惡意流量有很大幫助。本課題的數(shù)據(jù)集包含來自多類惡意軟件（QuasorRAT,Dridex,TrickBot,Emotet,IcedID等）的255個惡意流量捕獲文件。數(shù)據(jù)解析與處理流程如圖3-2所示。用NetcapADDINEN.CITE<EndNote><Cite><Author>Mieden</Author><Year>2018</Year><RecNum>34</RecNum><DisplayText><styleface="superscript">[22]</style></DisplayText><record><rec-number>34</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620224070">34</key></foreign-keys><ref-typename="JournalArticle">17</ref-type><contributors><authors><author>Mieden,Philipp</author></authors></contributors><titles><title>Implementationandevaluationofsecureandscalableanomaly-basednetworkintrusiondetection</title><secondary-title>bachelorthesis].Munich:theLudwigmaximiliansuniversity,institutefurinformatics</secondary-title></titles><periodical><full-title>bachelorthesis].Munich:theLudwigmaximiliansuniversity,institutefurinformatics</full-title></periodical><dates><year>2018</year></dates><urls></urls></record></Cite></EndNote>[22]網(wǎng)絡分析工具提取正常流量數(shù)據(jù)集和惡意流量數(shù)據(jù)集中ClientHello和ServerHello中的元數(shù)據(jù)。對數(shù)據(jù)進行清洗，然后用python程序?qū)lientHello和ServerHello中的元數(shù)據(jù)關(guān)聯(lián)起來，并將生成的元數(shù)據(jù)寫入CSV文件。數(shù)據(jù)解析與處理的詳情見本文4.2節(jié)、4.3節(jié)。處理完后數(shù)據(jù)集中樣本的分布情況如圖3-1所示，分別得到正常流量樣本110490個，惡意流量樣本6422個。最后，用python程序提取3.3節(jié)中選取的特征。圖3-1數(shù)據(jù)集樣本分布圖3-2數(shù)據(jù)解析與處理流程C&C加密信道流量元數(shù)據(jù)行為統(tǒng)計分析源端口和目的端口統(tǒng)計分析對于TLS惡意流量的檢測，目標端口（從客戶端的角度來看）是一個有效的入侵指示器（IndicatorOfCompromise，IOC）。圖3-3是對本研究收集的數(shù)據(jù)集中TLS流目的端口的分布的統(tǒng)計，橫坐標1代表TLS流端口在常見的TLS端口范圍中，0則代表不在。從圖中可以看到，正常流量的目的端口都位于常見的TLS端口列表中（見附錄1中常見的TLS端口列表），而有相當一部分的惡意TLS流量的目的端口屬于不常見的TLS端口。這種現(xiàn)象其實也很符合攻擊者的心理。默認情況下，合法的服務器通過監(jiān)聽與TLS相關(guān)的數(shù)據(jù)包的特定端口來進行TLS會話。除了惡意軟件，客戶端沒有理由發(fā)起到其它端口的TLS會話。惡意軟件使用其他端口比起常規(guī)的TLS端口也沒有什么優(yōu)勢，因為它們更容易被阻止或檢測。但是惡意軟件作者一般只是希望能通過加密流量來達到隱藏自己惡意行為的目的，較少去關(guān)注他們的服務器具體應該使用哪個端口來進行TLS通信。源端口（從客戶端的角度來看）也對分辨惡意TLS流量有著一定的指示作用（見圖3-4）。默認情況下，操作系統(tǒng)會在49152-65535范圍內(nèi)隨機分配源端口。但是，一些惡意軟件不請求來自操作系統(tǒng)分配的源端口，而是使用自定義的端口，這使它們在正常TLS連接中脫穎而出。圖3-3TLS目的端口分布圖3-4TLS源端口分布TLS參數(shù)統(tǒng)計分析TLS握手協(xié)議中的ClientHello消息中的一些參數(shù)同樣對分辨加密流量有所幫助，如，加密組件（Ciphersuites）、擴展（Extensions）列表和簽名算法。（1）加密組件統(tǒng)計分析一些加密組件被惡意軟件完全忽略了——基本很少使用，而另一些加密組件則被過分偏愛——頻繁使用，如圖3-5所示。其中最值得注意的是以下5個加密組件：TLS_RSA_WITH_RC4_128_MD5(4or0x0004)TLS_RSA_WITH_RC4_128_SHA(5or0x0005)TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA(19or0x0013)TLS_DHE_DSS_WITH_AES_128_CBC_SHA(50or0x0032)TLS_DHE_DSS_WITH_AES_256_CBC_SHA(56or0x0038)根據(jù)CADDINEN.CITE<EndNote><Cite><Author>Grundmann</Author><Year>2019</Year><RecNum>35</RecNum><DisplayText><styleface="superscript">[23]</style></DisplayText><record><rec-number>35</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620299960">35</key></foreign-keys><ref-typename="WebPage">12</ref-type><contributors><authors><author>HansChristianRudolphandNilsGrundmann</author></authors></contributors><titles><title>SecurityofCipherSuites</title></titles><dates><year>2019</year></dates><urls><related-urls><url>/cs/</url></related-urls></urls><custom2>2021-5-6</custom2></record></Cite></EndNote>[23]給出的資訊，這5種加密組件都被認為是不安全算法（在任何情況下都不應該被使用）或弱算法（算法已經(jīng)過時，不應該被使用）。惡意軟件之所以使用這些過時的不安全的密碼組件的原因有以下三種可能：一方面可能是因為惡意軟件的作者不了解哪些屬于安全的密碼組件；另一方面也可能是因為惡意軟件被發(fā)布后，缺少遠程更新加密組件參數(shù)的機制；還有一種可能則是攻擊者并不關(guān)注加密組件的安全性強度，只關(guān)注會話內(nèi)容是否被加密。圖3-5客戶端提供的加密組件參數(shù)分布（2）擴展列表統(tǒng)計分析惡意軟件客戶端還趨向于使用更少數(shù)量的擴展。據(jù)統(tǒng)計，數(shù)據(jù)集中的惡意流量使用的擴展的數(shù)量的平均值為3，而正常流量使用的擴展的數(shù)量的平均值是10。從圖3-6可以發(fā)現(xiàn)，正常流量和惡意流量對使用的擴展的偏愛也有很大不同。有些擴展惡意軟件幾乎從未用過，如status_request(5)、application_layer_protocol_negotiation(16)、extended_master(23)、session_ticket(35)。圖3-6客戶端使用的擴展分布（3）證書參數(shù)統(tǒng)計分析證書中包含許多參數(shù)，這些參數(shù)對于這兩種類型的流量來說是非常不同的。如圖3-7所示，惡意軟件更多地傾向于使用自簽名證書。用戶在向CA機構(gòu)申請SSL證書的時候，需要提供證明自身身份的合法信息，CA機構(gòu)經(jīng)過審批認證后，才會簽發(fā)證書，而惡意軟件并不希望提供自身相關(guān)的信息，這樣一旦攻擊被發(fā)現(xiàn)后，很容易就被溯源。惡意軟件為構(gòu)建隱蔽的通道與更快捷的通信，一般會一次性生成多個隨機域名并為它們申請證書。因此，惡意軟件出于隱藏自身信息與節(jié)約成本的目的，會更傾向于使用自簽名證書。根據(jù)圖3-8的統(tǒng)計，與正常TLS流量的證書相比，惡意TLS流量的證書還偏愛使用更長的有效期，而正常TLS流量的證書傾向于使用更短的有效期。正常TLS流量使用較短的有效期的原因是為了提高安全性，證書有效期越長，就越可能被黑客破解。較短的有效期也可以促使系統(tǒng)管理員自動更新證書。證書持有者別名（SubjectAlternativeNames，SAN），是X.509證書的一個擴展。使用了SAN擴展字段的TLS證書，可以擴展此證書支持的域名，使得一個證書可以支持多個不同域名的解析。根據(jù)圖3-9展示的數(shù)據(jù)集中SAN數(shù)量分布，可以看到惡意加密流量的SAN數(shù)量較少。一種可能的解釋是來自著名權(quán)威CA機構(gòu)的合法證書花費昂貴，而且公司一般會持有多個子域名，因此它們會偏向于將多個域名放在一個證書中。圖3-7自簽名證書分布圖3-8證書有效時長分布圖3-9SAN數(shù)量的分布C&C加密信道流量行為特征選取Cisco加密流量檢測工作選取的特征Cisco基于它們對大量正常加密流量和惡意加密流量的觀察，給出了加密流量的檢測特征ADDINEN.CITE<EndNote><Cite><Author>Anderson</Author><Year>2016</Year><RecNum>13</RecNum><DisplayText><styleface="superscript">[4,24]</style></DisplayText><record><rec-number>13</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620013283">13</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Anderson,Blake</author><author>McGrew,David</author></authors></contributors><titles><title>Identifyingencryptedmalwaretrafficwithcontextualflowdata</title><secondary-title>Proceedingsofthe2016ACMworkshoponartificialintelligenceandsecurity</secondary-title></titles><pages>35-46</pages><dates><year>2016</year></dates><urls></urls></record></Cite><Cite><Author>McGrew</Author><Year>2016</Year><RecNum>38</RecNum><record><rec-number>38</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620651630">38</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>McGrew,David</author><author>Anderson,Blake</author></authors></contributors><titles><title>Enhancedtelemetryforencryptedthreatanalytics</title><secondary-title>2016IEEE24thInternationalConferenceonNetworkProtocols(ICNP)</secondary-title></titles><pages>1-6</pages><dates><year>2016</year></dates><publisher>IEEE</publisher><isbn>1509032819</isbn><urls></urls></record></Cite></EndNote>[4,24]，見表3-1。這些特征大致可以分為3類：流元數(shù)據(jù)：在任何NetFlow中都可以觀察到的與TLS無關(guān)的特征。分布：不能直接從信息包中提取的特征，而是對流的信息包進行某種頻率分析得到。數(shù)據(jù)包長度序列（Sequenceofpacketlengths，SPL）：對于某個流中的所有數(shù)據(jù)包，將每個數(shù)據(jù)包長度離散到10個同等大小的箱中。長度范圍為[0,150)的數(shù)據(jù)包進入第一個容器，長度范圍為[150,300)的數(shù)據(jù)包進入第二個容器，一以此類推。然后構(gòu)造一個矩陣A，其中每個項A[i,j]計算箱i和j之間的轉(zhuǎn)換次數(shù)。數(shù)據(jù)包時間序列（Sequenceofpackettime，SPT）：類似于數(shù)據(jù)包長度序列，不過此時統(tǒng)計的是數(shù)據(jù)包達到時間的間隔。字節(jié)分布：一個長度為256的數(shù)組，它記錄在數(shù)據(jù)包的載荷中遇到的每個字節(jié)值的出現(xiàn)次數(shù)。TLS元數(shù)據(jù)：從TLS握手報文（ClientHello，ServerHello，Certificate）中提取的特征。表3-1Cisco加密流量特征類別特征數(shù)據(jù)類型流元數(shù)據(jù)源端口Int目的端口IntInbound字節(jié)IntOutbound字節(jié)IntInbound數(shù)據(jù)包數(shù)量IntOutbound數(shù)據(jù)包數(shù)量Int流持續(xù)時長Int分布數(shù)據(jù)包長度序列Matrix數(shù)據(jù)包時間序列Matrix字節(jié)分布ArrayTLS元數(shù)據(jù)客戶端提供的加密組件列表Int客戶端提供的擴展列表Int客戶端握手協(xié)議類型Int服務器選擇的加密組件Int服務器選擇的擴展IntSAN數(shù)量Float有效期Float證書是否是自簽名Boolean本文C&C加密信道檢測選取的特征根據(jù)3.2節(jié)統(tǒng)計分析的結(jié)果以及CiscoADDINEN.CITE<EndNote><Cite><Author>Anderson</Author><Year>2016</Year><RecNum>13</RecNum><DisplayText><styleface="superscript">[4,24]</style></DisplayText><record><rec-number>13</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620013283">13</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Anderson,Blake</author><author>McGrew,David</author></authors></contributors><titles><title>Identifyingencryptedmalwaretrafficwithcontextualflowdata</title><secondary-title>Proceedingsofthe2016ACMworkshoponartificialintelligenceandsecurity</secondary-title></titles><pages>35-46</pages><dates><year>2016</year></dates><urls></urls></record></Cite><Cite><Author>McGrew</Author><Year>2016</Year><RecNum>38</RecNum><record><rec-number>38</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620651630">38</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>McGrew,David</author><author>Anderson,Blake</author></authors></contributors><titles><title>Enhancedtelemetryforencryptedthreatanalytics</title><secondary-title>2016IEEE24thInternationalConferenceonNetworkProtocols(ICNP)</secondary-title></titles><pages>1-6</pages><dates><year>2016</year></dates><publisher>IEEE</publisher><isbn>1509032819</isbn><urls></urls></record></Cite></EndNote>[4,24]加密流量檢測工作中給出的特征，給出本文的C&C加密信道檢測特征，見表3-2。特征集包含208個特征。但是特征的數(shù)量并不是固定的，它取決于訓練集，那些沒有在訓練集中沒有出現(xiàn)的特征都被移除了。與加密組件、擴展、支持的橢圓曲線相關(guān)的特征就是這種情況。比如有的加密組件算法從未被數(shù)據(jù)集中的任何加密流量