本刊记者 王 超

于海东，北京观成科技有限公司联合创始人，安全分析实战专家。曾在两家安全公司负责逆向分析、安全分析、应急响应等工作，并带队参与数十起重大安全事件进行应急响应，服务过上百家重要行业客户。2015年至2019年期间，独立打造多套完整的加密流量检测、逆向分析培训课程体系，广受行业用户好评。

随着大众网络安全意识的稳步提升，对数据保护的意识也愈加强烈。对于特定类型的网络通信，加密甚至已成为法律的强制性要求，加密在保护隐私的同时也给网络安全带来了新的隐患。攻击者将加密作为隐蔽的通道，加密流量给攻击者隐藏其命令与控制活动提供了可乘之机。

目前，传统的流量检测方法显得“捉襟见肘”，无法适应现在威胁加密化的新形势。不仅如此，面对变种恶意程序以及未知加密威胁则更是无能为力。像“冰蝎”“哥斯拉”等这种WEBSHELL工具，在某些特定的场景下，还可以通过解密后再对其明文流量进行检测，但这种方案却无法有效应对加密通信的反弹马，无论是基于标准的SSL/TLS协议通信，还是其他的加密通信类型。

如何在不解密的情况下发现恶意加密流量则成为我们必须要面对的问题。为此，杂志社采访到了观成科技联合创始人于海东，就有关问题进行了深入访谈。

记者：请您谈谈，目前国内企业网加密流量的整体情况。

于海东：当前，加密流量占比直线上升，威胁加密化已成为主流，有超过一半的企业网络流量已经被加密，加密流量中隐藏着大量的恶意流量，所面临的各类安全风险超乎我们的想象。从我们监测分析的数据来看，每10个恶意程序中就有超过4个会使用加密通信，而像这样使用加密通信的恶意程序每天新增的数量超过1000个。传统的流量检测方法大多都是基于规则，或者对流量中提取文件后再进行检测，可当面对加密流量时，这些检测方法将不再适用。加密流量中隐藏的如何有效地检测和防御加密流量中的安全风险是业内亟待解决的难题。

加密和明文流量检测虽然同属流量安全的范畴，但是两种检测是两个不同的课题。加密流量检测与传统明文流量检测的根本差异在于无法获知加密数据信息，因此无法对加密会话所传递信息的内容进行检测。传统明文检测产品中使用的规则匹配、载荷还原检测等流量检测技术无法适用于加密流量。举一个简单的例子，某些基于明文通信的恶意流量，如攻击流量、木马通信流量等，基本上都可以找到关键的字符、特征来匹配。但数据一旦加密，呈现的信息就极少，很难匹配明显的规则。

近几年加密威胁检测在国内外也逐步受到重视和关注。美国、以色列等国家的多个龙头企业、创业公司从2016、2017年起就逐步推出了加密流量检测相关的产品和解决方案；国内的研究机构、高校、安全厂家从2017、2018年陆续开展研究和相关产品研发，2019年，国内多个主管部门发布的相关文件也首次强调了提升加密通信防御能力、加密流量的检测和防御。2020年1月1日，《中华人民共和国密码法》正式实施，给加密威胁检测、加密业务安全方向带来了重大利好。

记者：用户在加密流量中主要面临哪些问题？又将怎样解决？

于海东：加密流量如今成为大多政企客户安全管理的一个难题，里面跑的什么不知道、有没有威胁和风险不知道。总结起来，主要面临以下三个问题。

一是识别。每天有大量的外联加密流量，到底都是什么业务？无法识别超过60%的加密流量，对于网络安全管理来说，就是一个危险的盲区。

二是发现。大量的加密流量，到底有没有人在攻击我？都有哪些风险？如何去发现加密流量中的各类威胁行为，是绝大多数网络安全管理方正在面临的一个难题。

三是授权。到底有哪些人在没有经过授权的情况下使用翻墙软件或者VPN？当前的网络环境中，存在大量的恶意或者非法的翻墙软件、VPN等。这类灰色应用如果不加以识别和管控，除了有潜在的信息泄露的风险，还极有可能成为某些高级威胁信息传输的通道。

从根本上讲，加密威胁检测是一个体系化的问题，很难用单一的模型或者单一的方法来解决，不同的威胁类型要有不同的解决方案。加密流量的内容虽然无法直接检测，但是可以从很多其他角度对加密流量进行分析，这些角度包括：

（1）微观层面：两个通信主体间的单次加密会话特性；

（2）中观层面：两个通信主体间的多次加密会话特性；

（3）宏观层面：某固定时间段、固定网络中所有通信主体间的会话特性。

通过对微观、中观、宏观三个层面的特征进行提取、选择后，结合AI多模型、行为分析以及规则检测等，最终形成一整套针对恶意加密流量的检测体系。

例如，我司的瞰云-加密威胁智能检测系统就是充分利用人工智能优势特点，有效解决了恶意加密流量检测的难题，弥补了市场和技术空白，可实现对恶意代码使用加密通信、加密通道中的恶意攻击行为、恶意或非法加密应用进行有效检测和防御。

瞰云-加密威胁智能检测系统主要功能由三个模块组成：加密通道攻击检测分析、使用加密通信的恶意软件&恶意应用检测分析、密数据挖掘分析。

加密通道攻击检测分析：主要是针对SSL、SSH、RDP等加密通道的攻击行为检测，检测方法包括行为检测、规则检测、流签名检测、指纹检测、登录行为检测等。

使用加密通信的恶意软件&恶意应用检测分析：主要是针对使用加密通信的恶意软件、恶意应用进行检测和识别，检测方法包括行为检测、AI多模型检测、规则检测等。

密数据挖掘分析：主要是针对网络中所有密数据进行深度挖掘、关联分析，包括对密数据的信息提取、特征提取、单流画像、多流画像，以及对SSL加密数据的基础识别、应用识别、分类识别和算法识别等。

记者：有人说，人工智能用于加密流量安全检测将是一种新技术手段。对此，您是怎么看的？

于海东：确实是这样。传统流量安全检测技术在处理加密流量时遇到了困难，一直没有比较好的检测方法。而人工智能基于特征提取和行为分析的方法，可以在不解密报文的情况下，提炼出恶意软件的特性，从而识别出有害威胁，是一种非常好的辅助手段。

之所以定位为辅助手段，是因为加密威胁是一个极其复杂的体系化问题，不能仅仅依靠人工智能算法就完全解决。我们通过搜集和分析典型的恶意软件家族样本，并对其通信模块、加解密方法等进行了大量分析工作后，发现恶意软件使用加密通信的方式是多样的，概括起来主要有以下四种形式：

（1）基于标准加密通信协议，如SSL/TLS协议；

（2）基于自定义加密通信协议，如TCP自定义加密通信协议和UDP自定义加密通信协议；

（3）基于标准协议的隐蔽隧道，如ICMP隐蔽隧道、DNS隐蔽隧道、HTTP隐蔽隧道等；

（4）基于标准协议的伪装协议，如TLS伪装类协议、HTTP伪装类协议等。

像上面的这些恶意加密通信类型，有一些适合通过人工智能的方式来检测，且仅仅是辅助手段；还有一些则不一定适合，不同的情况必须要有针对性的解决方案才能有效应对。

记者：在您看来，一个科学合理的加密流量安全检测防御体系应该是怎样的？在这方面，观成科技是如何深耕布局的？

于海东：我个人认为一个科学合理的加密流量检测防御体系应该是具备全面性、专业性和友好性三个要素。根据我们对加密流量的理解，我们将恶意加密流量分成以下三大类：

恶意软件使用加密通信：这一类主要是指恶意代码、恶意软件为逃避安全产品和人工检测，使用加密通信来伪装或隐藏明文流量特征。例如特洛伊木马、感染式病毒、蠕虫病毒、下载器等。

加密通道中的恶意攻击行为：这一类主要是指攻击者利用已建立好的加密通道发起攻击。攻击行为包括扫描探测、暴力破解等。

恶意或非法加密应用：这一类主要是指使用加密通信的一些恶意、非法应用，例如Tor浏览器、无界浏览、自由门、赛风VPN，以及一些黑客工具如“冰蝎”“哥斯拉”等。

首先是全面性。目前我们的瞰云-加密威胁智能检测系统能够对以上三类威胁进行有效检出。覆盖的使用加密通信的恶意软件家族超过了200种，覆盖的流行黑客工具超过50款，我们也在持续跟进新出现的以及变种的恶意软件或者黑客工具等。

其次是专业性。前面我们提到过，恶意加密流量是极其复杂的，不存在一种能够检测所有威胁类型的解决方案。针对不同类型的加密威胁，必须要制定相应的检测办法。比如，针对恶意软件加密通信，我们就内置了四个检测引擎，分别对标准加密协议通信、自定义协议加密通信、隐蔽隧道加密通信以及伪装协议加密通信进行检测。

最后是关于客户的友好性。我们的产品用到了人工智能技术，而人工智能用于加密流量检测时的一个比较突出的问题就是可解释性差。为了解决这类问题，我们在产品中设计了比较独特的报警呈现界面，我们称为“鱼骨图”。通过“鱼骨图”这种可视化的方式将加密威胁的各个异常特征呈现出来，这样，只要有一定网络协议基础的用户就可以快速理解产品报警的原因是什么，较好地解决了可解释性差的问题。

记者：作为一家长期专注于加密流量检测与防御的企业，观成科技在技术创新、产品研发等方面取得了哪些进展？

于海东：我们创业两年多，最大的收获有两点：一是我们真正了解了哪些威胁在使用加密通信、使用什么方式在加密；二是找到了一部分解决方案，可以对部分加密威胁形成检测和防御能力。我觉得我们在技术和产品上最大的创新在于如何清晰地掌握加密威胁、并能快速形成一部分解决方案，弥补市场和技术的空白。

之所以说一部分解决方案，是我们清晰地认识到，加密威胁也分很多等级，有很多加密的威胁确实是最高级别的对抗，我们暂时还无法做到精准检测与防御，这也是我们未来持续努力和创新的目标。

产品方面，当前观成科技已发布多款产品，包括瞰云-加密威胁智能检测系统、瞰云-智能威胁检测系统、瞰影-加密业务监控分析系统等。其中，瞰云-加密威胁智能检测系统是将人工智能（AI）技术与安全检测技术相结合，具有完全自主知识产权的一款针对恶意加密威胁进行有效检测与防御的创新型安全检测产品。

技术方面，产品充分利用了多种检测技术，有效解决了恶意加密流量检测的难题，弥补了市场和技术空白，可实现对恶意代码使用加密通信、加密通道中的恶意攻击行为、恶意或非法加密应用进行有效检测和防御。瞰影-加密业务监控分析系统是在密码技术研究的基础上，结合密码分析与人工智能技术，以密码对抗的视角实现各类加密业务、加密协议的识别与分类、异常性检测、合规性检测以及密码业务安全态势分析。

自2019年3月发布产品以来，公司目前服务了多个重点行业的数十家客户，并被国内多个龙头国企、安全厂商选为合作伙伴，公司的产品和技术受到广大好评，并在大量现网中进行验证取得了一批实战成果。

记者：请您谈谈观成科技未来战略规划及布局。

于海东：首先，通过这两年多的跟踪，我们确信，威胁的加密化和用户网络加密化已经不可逆转，无论是威胁还是用户网络加密的比例只会越来越高。加密网络空间的安全防御是必然，但这个方向又比较难，所以在较长一段时间内我们一定会专注于加密网络空间的防御，不断地突破和创新。

其次，这两年我们关注到越来越多的行业客户对于加密流量的检测和防御需求越来越旺盛，我们会不断攻克技术难题、打磨产品，为更多行业客户提供我们的产品和服务，为客户网络安全防御体系贡献一份力量。