加密威胁检测如何创新突围?|星特写
随着国家政策对我国网络安全行业的保驾护航,以及网络安全需求日益快速增加,政府、企业、个人在网络安全保障方面的投入都在不断增加,产业发展的驱动力强劲。多重利好因素促使我国网络安全行业市场规模保持着较快的增速,创新型安全厂商们也迎来发展机遇。
01
网络安全需求催生广阔市场
相关数据显示,2020年全年数据泄露总条数约为360亿条,数据泄露事件给企业造成的平均损失达386万美元。安全事件频发,催生出广阔的市场。前瞻产业研究院预测,我国网络安全行业市场规模在2025年将在1200亿元左右,年复合增长率约为16.4%。
今年两会审议了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,从国家层面对网络安全建设给予高度重视,《纲要》在不同篇章均提及网络安全,将其作为基础保障能力、转型建设内容、国家安全战略进行定位。
德勤Deloitte认为,根据《纲要》,网络安全未来将呈现以下发展趋势:
- 网络安全作为国家重点产业将得到全面的发展和创新,并越来越国际化和多元化;
- 数据安全和个人信息保护立法进程将加速,相关标准和技术规范将愈发严格;
- 在经济、社会和政府数字化能力建设过程中,网络安全能力将作为重要组成获得同步推关注和推进;
- 网络安全在关键行业及直接触达消费者的行业中的作用将进一步强化;
- 数据安全将随着数据战略上升到战略高度;
- 隐私保护和消费者维权意识将进一步提升。
02
创新型安全厂商突围
据安全牛介绍,目前有超过一半的企业网络流量已经被加密,加密流量中隐藏着大量的恶意流量。从监测分析的数据来看,每10个恶意程序中就有超过4个使用加密通信,而像这样使用加密通信的恶意程序每天新增数量超过1000个。
传统的流量检测方法大多基于规则,或者对流量中提取的文件进行审计,但面对加密流量,这些检测方法将不再适用,面对变种恶意程序以及未知加密威胁更是无能为力。如冰蝎、哥斯拉等WEBSHELL工具,在某些特定的场景下,还可以通过解密后再对其明文流量进行检测,而传统方案无法有效应对加密通信的反弹马。如何在不解密的情况下发现恶意加密流量成为必须要面对的问题。
创新型安全厂商观成科技以加密流量检测为核心技术,坚持“自主研发、持续创新”,将人工智能、攻防技术和密码技术相结合,在国内首家推出针对加密流量AI安全检测、防御的创新型产品。
观成瞰云-智能威胁检测系统充分利用人工智能优势特点,有效解决了在恶意加密流量检测的难题,弥补了市场和技术空白,可实现对恶意代码使用加密通信、加密通道中的恶意攻击行为、恶意或非法加密应用进行有效检测和防御。
产品总体技术架构
观成瞰云-智能威胁检测系统主要技术架构由3大模块组成:加密通道攻击检测分析、使用加密通信的恶意软件&恶意应用检测分析、密数据挖掘分析。
- 加密通道攻击检测分析,主要是针对SSL、SSH、RDP等加密通道的攻击行为检测,检测方法包括:行为检测、规则检测、流签名检测、指纹检测、登录行为检测等。
安全牛认为,对于加密流量的威胁检测,传统的检测技术很难有效,技术门槛较高,国内在加密流量检测领域的形成产品化落地的厂商较少,观成科技目前申请的加密流量检测相关的国家发明专利已超过20篇,具备一定的技术能力;观成科技的加密流量检测方案在军工、网信、部委、央企等多个重要行业均有落地应用,仅2020年在现网中发现的加密类APT攻击事件已超过10起,实战效果突出。
03
网络安全防御新势力
近日,观成科技联合创始人于海东在接受信息安全与通信保密杂志社采访时,进一步介绍了观成科技的最新进展与未来规划。
他认为,恶意加密流量可以分成三大类:恶意软件使用加密通信、加密通道中的恶意攻击行为、恶意或非法加密应用,科学合理的加密流量检测防御体系应该具备全面性、专业性和友好性三个要素。
全面性:瞰云-加密威胁智能检测系统能够对以上三类威胁进行有效检出。覆盖的使用加密通信的恶意软件家族超过200种,覆盖的流行黑客工具超过50款,也在持续跟进新出现的以及变种的恶意软件或黑客工具。
专业性:恶意加密流量是极其复杂的,不存一种能够检测所有威胁类型的解决方案。针对不同类型的加密威胁,必须要制定相应的检测办法。比如,针对恶意软件加密通信,内置四个检测引擎,分别对标准加密协议通信、自定义协议加密通信、隐蔽隧道加密通信以及伪装协议加密通信进行检测。
友好性:为了解决人工智能技术 用于加密流量检测时可解释性差的问题,公司在产品中设计了独特的报警呈现界面,即“鱼骨图”。这种可视化的方式可以呈现加密威胁的各个异常特征,因此,只要有一定网络协议基础的用户就可以快速理解产品的报警原因,较好地解决了可解释性差的问题。
创业两年多来,观成科技真正了解了哪些威胁在使用加密通信、使用什么方式在加密;同时找到了一部分解决方案,可以对部分加密威胁形成检测和防御能力。“我们在技术和产品上最大的创新就在于清晰地掌握加密威胁,并能快速形成一部分解决方案,弥补市场和技术的空白。”
之所以说一部分解决方案,是观成科技认识到,加密威胁分为很多等级,有很多加密的威胁是最高级别的对抗,暂时还无法做到精准检测与防御,这也是公司未来持续努力和创新的目标。
在产品方面,当前观成科技已发布多款产品,包括瞰云-加密威胁智能检测系统、瞰云-智能威胁检测系统、瞰影-加密业务监控分析系统等。其中,瞰云-加密威胁智能检测系统是将人工智能技术与安全检测技术相结合,具有完全自主知识产权的一款针对恶意加密威胁进行有效检测与防御的创新型安全检测产品。
技术方面,产品充分利用了多种检测技术,有效解决了在恶意加密流量检测的难题,弥补了市场和技术空白,可实现对恶意代码使用加密通信、加密通道中的恶意攻击行为、恶意或非法加密应用进行有效检测和防御。瞰影-加密业务监控分析系统,是在密码技术研究的基础上,结合密码分析与人工智能技术,以密码对抗的视角实现各类加密业务、加密协议的识别与分类、异常性检测、合规性检测以及密码业务安全态势分析。
自2019年3月发布产品以来,公司目前服务了多个重点行业的数十家客户,并被国内多个龙头国企、安全厂商选为合作伙伴,公司的产品和技术受到广大好评,并在大量现网中进行验证取得了一批实战成果。
谈及观成科技的未来战略规划及布局,于海东表示,通过这两年多的跟踪,观成科技确信,威胁的加密化和用户网络加密化已经不可逆转,无论是威胁还是用户网络加密的比例只会越来越高。
加密网络空间的安全防御是必然,但这个方向道阻且长,所以在较长一段时间内,观成科技会专注于加密网络空间的防御,不断突破和创新。越来越多的行业客户对于加密流量的检测和防御需求日益旺盛,观成科技将不断攻克技术难题、打磨产品,为更多行业客户提供产品和服务,为客户网络安全防御体系贡献一份力量。
参考来源
https://mp.weixin.qq.com/s/QFaom-D9bjYrGblYCv-EGA
https://mp.weixin.qq.com/s/eHq0GHYDF2Ll51o3IHJZ5g
https://mp.weixin.qq.com/s/IRVbgnh8AH_vjzC8zgfSoQ
END
坚信技术发展无捷径,北科天绘踩准激光雷达的未来 | 星特写
这个“618”的购物车,留给他吧 | 星特写
高考结束该报志愿了!AI专业了解一下吗?| 星特写
小马智行无人车驰援广东,用科技筑起抗“疫”防线 | 星特写
海柔创新陈宇奇:努力“做全世界最好的机器人公司” | 星特写
什么样的教育,能让孩子受益一生?| 星特写