国产精品久av福利在线观看_亚洲一区国产精品_亚洲黄色一区二区三区_欧美成人xxxx_国产精品www_xxxxx欧美_国产精品久久婷婷六月丁香_国产特级毛片

 從2015年開始，思科信息安全團(tuán)隊(duì)中一位名叫Rich West的系統(tǒng)架構(gòu)師就一直在與思科高級(jí)安全研究小組的一名工程師嘗試去解決一個(gè)非常新穎的問(wèn)題：思科信息安全團(tuán)隊(duì)希望能夠找到一種方法來(lái)更好地保護(hù)思科員工的信息安全，并防止惡意軟件通過(guò)加密流量竊取員工的個(gè)人隱私數(shù)據(jù)。但當(dāng)時(shí)似乎只有一種可行的方法，即通過(guò)設(shè)置代理并解密通信數(shù)據(jù)來(lái)檢查所有的SSL和TLS流量。
如果是在惡意活動(dòng)中，那么上述這種“可行方法”就是我們常說(shuō)的中間人（MitM）攻擊。但即便是出于安全防御端的角度來(lái)看，這種方法仍然會(huì)被視為一種侵犯用戶隱私的行為，因?yàn)楫?dāng)用戶需要向銀行或加密郵件服務(wù)發(fā)送加密通訊信息時(shí)，上面的這種方法就會(huì)破壞加密信任鏈，從而導(dǎo)致用戶隱私受到侵害。除此之外，這種方法的計(jì)算量也非常高，而且高到足以造成網(wǎng)絡(luò)性能的大幅下降，更不用說(shuō)管理額外的SSL證書（流量被檢查之后需要重新簽名）所帶來(lái)的性能負(fù)擔(dān)了。
Rich West和他的團(tuán)隊(duì)最終認(rèn)為，這種以犧牲隱私權(quán)和網(wǎng)絡(luò)性能為代價(jià)來(lái)?yè)Q取安全性的方法是不值當(dāng)?shù)�。因此，他們需要一種新的方法，他們需要一種不涉及到向檢查節(jié)點(diǎn)發(fā)送內(nèi)部流量的方法。為了解決這個(gè)問(wèn)題，West與思科工程師David McGrew取得了聯(lián)系。
一個(gè)待解決的復(fù)雜問(wèn)題
McGrew是思科高級(jí)安全研究小組的一員，他和他的團(tuán)隊(duì)一直都在研究如何使用NetFlows配合新的算法來(lái)檢測(cè)惡意軟件。當(dāng)West將他的需求（設(shè)計(jì)一種新的方法在加密數(shù)據(jù)中識(shí)別惡意攻擊）告知了McGrew的團(tuán)隊(duì)之后，這個(gè)耗時(shí)長(zhǎng)達(dá)兩年的項(xiàng)目便誕生了，而且該項(xiàng)目現(xiàn)在已接近完工。這個(gè)項(xiàng)目集合了多款新型網(wǎng)絡(luò)產(chǎn)品和軟件，旨在從根本上改變現(xiàn)代網(wǎng)絡(luò)的底層架構(gòu)和驅(qū)動(dòng)模型，而思科在本周已經(jīng)正式對(duì)外公布了該項(xiàng)目。

McGrew和他的團(tuán)隊(duì)所開發(fā)來(lái)的這種模型名叫Encrypted Traffic Analytics（ETA），即加密流量分析模型。思科公司手中掌握有龐大的網(wǎng)絡(luò)資源和數(shù)據(jù)資源，思科也一直希望將手中的這些資源結(jié)合自動(dòng)化技術(shù)以及機(jī)器學(xué)習(xí)來(lái)實(shí)現(xiàn)無(wú)處不在的安全保護(hù)，而ETA模型的出現(xiàn)讓思科離這個(gè)目標(biāo)近了一大步。
數(shù)據(jù)加密通常都會(huì)被認(rèn)為是一件好事，因?yàn)榧用懿粌H能夠保證網(wǎng)絡(luò)交易和聊天的私密性，而且也可以防止攻擊者（中間人攻擊）窺探或篡改用戶的網(wǎng)絡(luò)通信數(shù)據(jù)。
隨著越來(lái)越多的企業(yè)環(huán)境開始使用云服務(wù)，這也讓Google和Mozilla這樣的公司開始強(qiáng)制網(wǎng)站去使用TLS等安全傳輸協(xié)議了。各大瀏覽器廠商首先要求所有的加密流量必須由受信任的證書機(jī)構(gòu)（CA）所頒發(fā)的證書來(lái)進(jìn)行簽名，而相關(guān)機(jī)構(gòu)也在努力試圖通過(guò)簡(jiǎn)化證書申請(qǐng)以及流量加密等過(guò)程來(lái)推廣TLS的使用。但正是因?yàn)榧用芩�需的成本降低了，而且�(guī)缀鹾翢o(wú)成本，所以很多網(wǎng)絡(luò)攻擊者也開始通過(guò)普通的TLS或SSL流量來(lái)試圖掩蓋他們的惡意命令、遠(yuǎn)程控制行為以及數(shù)據(jù)竊取活動(dòng)。
想要在普通流量中檢測(cè)惡意軟件的活動(dòng)本身就是一件非常復(fù)雜的事情，而且還涉及到海量數(shù)據(jù)分析等情況，再加上TLS和SSL等加密協(xié)議的出現(xiàn)，使得目前所面臨的挑戰(zhàn)難上加難。但對(duì)于McGrew來(lái)說(shuō)，這正是讓他激動(dòng)不已的地方。
NetFlow中包含有大量有價(jià)值的信息，但它也會(huì)受到一定的語(yǔ)境限制。它可以表示網(wǎng)絡(luò)上的兩臺(tái)設(shè)備正在交互，以及通信時(shí)長(zhǎng)和發(fā)送的字節(jié)數(shù)等等，但這些數(shù)據(jù)畢竟還是不完整的。McGrew認(rèn)為，隱私和安全并不應(yīng)該是必須二選一的，為了解決這個(gè)復(fù)雜的問(wèn)題，他不僅需要從頭開始，而且還需要涉及到大量代碼和密集的數(shù)據(jù)建模。

‘好吧，你到底需要什么？’ – ‘數(shù)據(jù)，很多很多的數(shù)據(jù)。’
這個(gè)項(xiàng)目需要大量的資源，所以McGrew首先想到了思科的技術(shù)投資基金（Tech Fund）。思科的“Tech Fund”項(xiàng)目通常投資的都是那些能夠改變現(xiàn)狀的新型產(chǎn)品或高新技術(shù)，而且這些項(xiàng)目通常都需要好幾年的開發(fā)時(shí)間。
就算有了資金做保障，但在真正形成項(xiàng)目并開始編碼之前，McGrew還需要從思科的網(wǎng)絡(luò)系統(tǒng)中獲取數(shù)據(jù)分析樣本，包括惡意軟件樣本在內(nèi)。為了解決這個(gè)問(wèn)題，McGrew在2015年3月份邀請(qǐng)了Blake Anderson加入。Anderson是一名擁有博士學(xué)位的數(shù)據(jù)科學(xué)家，他主要研究的是機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中的應(yīng)用。當(dāng)時(shí)，他也正在與美國(guó)洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室一起研究如何將機(jī)器學(xué)習(xí)方法應(yīng)用到惡意軟件的分析過(guò)程中。
當(dāng)Anderson加入到思科這個(gè)團(tuán)隊(duì)時(shí)，McGrew的團(tuán)隊(duì)正在開發(fā)相應(yīng)的分析工具，而且他們已經(jīng)可以通過(guò)NetFlow數(shù)據(jù)來(lái)識(shí)別出具體的應(yīng)用程序了。比如說(shuō)，他們可以識(shí)別出NetFlow數(shù)據(jù)是來(lái)源于Chrome瀏覽器還是來(lái)源于微軟的更新服務(wù)，不過(guò)他們還沒有將這項(xiàng)技術(shù)應(yīng)用到針對(duì)惡意軟件的數(shù)據(jù)分析活動(dòng)中。
為了獲取到分析樣本，Anderson以及McGrew的團(tuán)隊(duì)幾乎與思科公司的每一個(gè)產(chǎn)品部門都溝通過(guò)，包括內(nèi)部信息安全團(tuán)隊(duì)、Talos威脅情報(bào)小組和ThreatGRID團(tuán)隊(duì)等等。在花費(fèi)了幾個(gè)月的時(shí)間編寫了一萬(wàn)多行代碼之后，McGrew和Anderson便開始將他們的數(shù)據(jù)模型應(yīng)用到實(shí)際的測(cè)試中。在獲取到了數(shù)百萬(wàn)的數(shù)據(jù)包和已知的惡意軟件樣本之后，Anderson開始嘗試在不進(jìn)行任何解密的情況下對(duì)海量數(shù)據(jù)進(jìn)行篩選和歸類，并通過(guò)“最具描述性的特征”來(lái)識(shí)別出惡意流量和正常流量。

Anderson表示：“我認(rèn)為收集正確的數(shù)據(jù)才是最重要的。很多人會(huì)在收集到了大量數(shù)據(jù)之后才去考慮他們能用這些數(shù)據(jù)去做什么，但我們打算采取相反的做法，我們會(huì)列出我們所需要的數(shù)據(jù)類型，然后再?gòu)乃伎频钠渌�產(chǎn)品團(tuán)隊(duì)那里收集這些數(shù)據(jù)。”
隱藏的惡意軟件與指紋
如果網(wǎng)站擁有權(quán)威CA簽發(fā)的TLS證書，這意味著用戶可以放心地訪問(wèn)這個(gè)網(wǎng)站，但這并非絕對(duì)。據(jù)了解，至少?gòu)?009年起，很多攻擊者就開始通過(guò)使用偽造的、竊取來(lái)的、甚至是合法的SSL簽名證書來(lái)欺騙互聯(lián)網(wǎng)的信任系統(tǒng)。這樣一來(lái)，攻擊者就可以通過(guò)安全證書來(lái)誘使用戶交出自己的登錄憑證或下載惡意Payload。在過(guò)去的幾個(gè)月里，濫用合法TLS證書的攻擊事件數(shù)量呈上升趨勢(shì)，這很可能是由于類似Let’s Encrypt這樣的CA機(jī)構(gòu)開始免費(fèi)簽發(fā)TLS證書所導(dǎo)致的。這也就意味著，網(wǎng)絡(luò)釣魚攻擊者將能夠輕而易舉地制作出足以以假亂真的PayPal或比特幣錢包釣魚網(wǎng)站。比如說(shuō)，下圖所示的就是一個(gè)使用了免費(fèi)加密證書的釣魚網(wǎng)站：

事實(shí)證明，降低密鑰的獲取難度確實(shí)是一把雙刃劍
Rich West認(rèn)為，從某種程度上來(lái)說(shuō)，他們的成功是以犧牲其他安全部門作為代價(jià)的。他們一直在敦促IT公司、廠商和App開發(fā)者通過(guò)加密技術(shù)來(lái)保證數(shù)據(jù)的安全，但這樣也增加了處理這些加密數(shù)據(jù)的難度。不過(guò)幸運(yùn)的是，通過(guò)對(duì)數(shù)百萬(wàn)TLS數(shù)據(jù)流、惡意軟件樣本和數(shù)據(jù)包進(jìn)行了分析之后，Anderson和McGrew發(fā)現(xiàn)TLS數(shù)據(jù)流中未加密的元數(shù)據(jù)包含攻擊者無(wú)法隱藏的數(shù)據(jù)指紋，而且即使數(shù)據(jù)經(jīng)過(guò)加密也無(wú)法隱藏這種指紋。TLS擅長(zhǎng)的就是隱藏明文信息，但它所創(chuàng)建出來(lái)的還有一系列可觀測(cè)的復(fù)雜參數(shù)，而McGrew和Anderson這樣的工程師就可以用這些數(shù)據(jù)來(lái)訓(xùn)練他們的模型了。
比如說(shuō)，當(dāng)一段TLS流量開始發(fā)送時(shí)，首先從一個(gè)握手包開始。客戶端（比如說(shuō)Chrome瀏覽器）會(huì)給其嘗試通信的服務(wù)器發(fā)送ClientHello消息。“Hello”消息包含一組參數(shù)，例如使用的密碼套件、接受的版本以及可選的擴(kuò)展。但類似“ClientHello”這樣的TLS元數(shù)據(jù)是沒有被加密的，因?yàn)樗鼈冊(cè)谙�息開始加密之前就發(fā)送出去了。這也就意味著，Anderson的模型可以在完全不知道消息內(nèi)部數(shù)據(jù)的情況下對(duì)這些未加密的數(shù)據(jù)進(jìn)行分析，而該模型將準(zhǔn)確地分辨出該流量來(lái)自于惡意軟件還是普通活動(dòng)。

根據(jù)Anderson最新的測(cè)試結(jié)果，這種方法不僅可以在不侵犯用戶隱私（即不破壞解密）的情況下保證用戶的安全，而且ETA測(cè)試的準(zhǔn)確性也非常有保證。如果只使用NetFlow功能的話，檢測(cè)準(zhǔn)確率只有67%。但如果能配合類似SPL、DNS、TLS元數(shù)據(jù)、以及HTTP等信息的話，檢測(cè)的準(zhǔn)確率將高達(dá)99%。
豐富的資源外加跨部門的協(xié)同合作，McGrew和Anderson僅僅花費(fèi)了兩年的時(shí)間便創(chuàng)造出了這種能夠解決當(dāng)前網(wǎng)絡(luò)安全嚴(yán)峻問(wèn)題的方案。而McGrew也表示，只有像思科這樣擁有大量資源和數(shù)據(jù)并重視高級(jí)安全技術(shù)的公司才可以推出這樣的解決方案。
展望
Anderson表示，他希望ETA能夠通過(guò)軟件代碼更新等形式應(yīng)用到任何地方，并給網(wǎng)絡(luò)上的任何設(shè)備提供惡意軟件識(shí)別服務(wù)，因?yàn)镋TA的目標(biāo)就是讓任何需要處理網(wǎng)絡(luò)數(shù)據(jù)的設(shè)備都變成安全設(shè)備。Anderson說(shuō)到：“我們接下來(lái)會(huì)想辦法將我們的技術(shù)應(yīng)用到路由器和交換機(jī)上，這是非常有意義的。在這個(gè)過(guò)程中，我們依然可以通過(guò)云端來(lái)訓(xùn)練我們的模型，并將機(jī)器學(xué)習(xí)與網(wǎng)絡(luò)層聯(lián)系起來(lái)。”