智简园区加密通信分析技术白皮书

华为智简园区加密通信分析（ECA）技术白皮书华为智简园区加密通信分析技术白皮书摘 华为智简园区加密通信分析技术白皮书摘 要摘 要Gartner2019ECA(EncryptedCommunicationAnalytics)ECA华为智简园区加密通信分析技术白皮书目 华为智简园区加密通信分析技术白皮书目 录目 摘 要 概述 1产生背景 1解决思路 1客户价值 2可获得性 2实现原理 3方案架构 3方案实现 4样本数据 4白样本 4黑样本 5特性分析 5加密流量常行关联 5上下文流量信关联 5样本数据析 6机器学习 6数据特征 6TLS握手信息特征 7统计特征 9DNS信息特征 10HTTP信息特征可选） 11CIS系统原理 11大数据采集理 12大数据分析原理 典型场景 14场景描述 14部署说明 14典型配置 15A缩略语 1华为智简园区加密通信分析技术白皮书1华为智简园区加密通信分析技术白皮书 1概述产生背景HTTPS。Gartner2019年，80％的Gartner2019如何识别加密威胁？解决思路ECA(EncryptedCommunicationAnalytics)客户价值防未知加密威胁攻击在不破坏数据完整性的前提下，快速帮助客户发现加密流量中潜伏的恶意C&C通信，从而及时进行处置处理。可获得性产品最低支持版本CISV100R003C30LSW(S5720HI/S5730HI/S6720HI)V200R013C002实现原理华为智简园区加密通信分析技术白皮书2实现原理华为智简园区加密通信分析技术白皮书 2实现原理方案架构CIS流量ECAECAECA（CIS系统中。ECACISECACISECA方案实现整个ECA工作分为3大部分：、SSLCISECAECATLS统计信息，DNS/HTTPCISCISECAC&CAPT样本数据对训练、测试集分别统计以下特性，用来评估样本的典型性、代表性。白样本浏览器客户端在样本中的比例各种常见浏览器及版本：Firefox,chrome,safari,opera,ie(edge),sougou,qq,liebao,360版本分布TLS参数:加密套件与压缩算法等自签名样本比例客户端、服务器双向认证比例黑样本恶意样本的家族（指定AV反病毒引擎给定的家族名称及无家族）及数据量客户端、服务器双向认证比例恶意样本访问正常网站比例服务端口分布IP分布TLS版本分布TLS参数客户端TLS库种类及分布自签名样本比例特性分析IPIPSCISHTTPSDNSHTTP请求的流量等，关联相同源IPIPHTTPDNS请求。针对DNS，IPIPDGAIPIP求；敏感数据外传的场景下，有大量的DNSHTTP，可能C&C传等。DNSHTTPHTTP流，响应字节数/User-AgentHTTPReference）等。（辅助的手段：黑样本加密流量的分析，不同家族的样本的流量是否有区别，不同阶段（下载、C&C、数据外传等）的流量的差别，尝试能够从流量特征得出家族和攻击的阶段信息。机器学习（RF）型。数据特征本方案主要使用了四大类数据特征，如下：TLSTLSIPDNSTLSIPHTTP信息特征TLS一条完整的TLS握手信息至少应包含ClientHello消息，ServerHello消息，客户端到服务端的ChangeCipherSpec消息，服务端到客户端的ChangeCipherSpec消息。TLSClientHello（CipherSuites）extensions列表。TLSServerHelloClientHelloSupportCipherSuitesextension的列表。TLS握手过程中，服务器端会通过Certificate消息将自己的证书下发给客户端，让客户端验证自己的身份。证书中可提取的特征包括证书有效期、SAN数量、证书链长度等信息。TLS握手的第三步为客户端发送ClientKeyExchange，client拿到server的certificatecertificatepublicsession基于如上描述，TLS握手信息中提取的字段数据如下：1CipherSuitesTLS客户端支持加密套件列表2SelectedTLS服务器端选择的加密套件3Client_ExtensionTLS客户端支持的extension列表4Server_ExtensionTLS服务器端选择的extension列表5Client_Key_Exchange_LenTLS握手过程中ClientKeyExchange消息的负载长度6Server_Key_Exchange_LenTLS握手过程中ServerKeyExchange消息的负载长度7Cert_Duration服务器叶证书的有效期(单位天)8Self_Signed服务器叶证书是否为自签名证书9SAN服务器叶证书中的SAN数量10Cert_Nums服务器证书链中的证书数量11isCA服务器叶证书是否自称为CA证书TCP统计特征IPIP1DurationTCP流的持续时间，时间单位毫秒2src_packets(max,min,mean,std)TCP连接过程中发送的所有有负载(最多150)的包的最大负载长度，最小负载长度，平均值和标准差3src_times(max,min,mean,std)TCP连接过程中发送的所有有负载的包的间隔时间(毫秒)的最大值，最小值，平均值，标准差4dst_packets(max,min,mean,std)TCP连接过程中接收的所有有负载的包的最大负载长度，最小负载长度，平均值和标准差5dst_times(max,min,mean,std)TCP连接过程中接收的所有有负载的包的间隔时间的最大值，最小值，平均值，标准差6Bytes.srcTCP连接过程中发送的总字节数7Num.srcTCP连接过程中发送的总包数8Bytes.dstTCP连接过程中接收的总字节数9Num.dstTCP连接过程中接收的总包数10BDTCP负载中的字节分布情况，详细描述11Packet_stateTCP连接过程中有负载的前20个包的包长转移概率矩阵12Time_stateTCP连接过程中有负载的前20个包的间隔时间转移概率矩阵DNS根据TCP连接中服务端的IP，和DNS查询中的IP查询结果进行匹配，可查询到目的IP对应的域名，发送给大数据平台进行知名网站的匹配。1Suffix目的IP关联的域名后缀2TTL目的IP关联的域名的生存时间3domain_num_count目的IP关联的域名中数字的个数4domain_nonAlpha目的IP关联的域名中符号的个数5domain_len目的IP关联的域名长度6ip_address_count目的IP关联的DNSResponse消息中返回的IP数量7DNS_Alexa目的IP关联的域名在Alex中的排序HTTP（）TLSTLShttp报文，如IPHTTP1User_Agent源IP关联的HTTPRequest消息中的User_Agent字段2Client_Content_TypeIPHTTPRequestcontent_type字段3Server源IP关联的HTTPResponse消息中的server字段4Server_Content_TypeIPHTTPResponsecontent_type字段CIS系统原理CIS（cybersecurityintelligencesystem）APTAPTCIS包含数据采集。数据处理、威胁检测、威胁呈现等多个功能模块。在ECA检测功能中，主要涉及数据采集、威胁分析检测。

数据预处理原理分布式存储原理分布式存储负责对格式化后的数据进行存储，针对不同类型的异构数据（归一化日PCAP文件/分布式索引原理/事件关联分析原理WEB异常检测原理WEBWEBHTTP协议中的URL、User-Agent、Refer和上传下载的MD5C&C异常检测

C&C（DNS/HTTP/TLS/3,4）C&C通信异常。DNSC&CDGAAPT3,4C&C异常检测根据CC，分析CC测发现网络中所存在的CCHTTPC&CIP+

/MD5和URL3典型场景华为智简园区加密通信分析技术白皮书3典型场景华为智简园区加密通信分析技术白皮书 3典型场景ECACIS场景描述敏捷园区场景由于ECA检测当前主要针对南北向出口流量，所以一般ECA探针主要部署在总部出口或数据中心出口，提取加密流量特征；CIS系统（ECA分析检测）作为威胁检测平台部署在总部的管理区；部署说明1ECA2、ECA探针类型选择上主要考虑如下几个技术因素：（；ECACISCIS>ECA。3、CIS系统一般部署在管理区，具体选型需要根据实际流量大小选择对应的配置典型配置CIS选型标准化部署:：大于2Gbps以上业务流量流探针：高配支持10Gbps混合流量或1GbpsDNS流量。低配支持500Mbps混合流量或50MbpsDNS流量。11节点，11台硬件服务器，可扩容小型化部署：2Gbps640），200MbpsDNS流量（128）流量+1Gbps+1000EPS日志4节点，4台硬件服务器单机版部署：1Gbps640），100MbpsDNS流量（128字节）。流量+500Mbps+1000EPS日志日志处理能力：峰值1000EPS（EventperSecond），单条日志平均长度不超过400字节。1台硬件服务器，4个虚机园区交换机S5720HI/S5730HI/S6720HI典型部署：/ECAECAA缩略语华为智简园区加密通信分析技术白皮书A缩略语华为智简园区加密通信分析技术白皮书 A缩