思科一组研究员认为，TLS(传输层安全)隧道中的恶意流量可在不解密用户流量的情况下，被检测并封锁。

　　企业环境下，这可谓是个大好消息，因为当今的防护都依赖于终止加密来检查流量这种争议性的方法。

　　在文章中，几位研究员解释称，恶意软件会在TLS流中留下可识别的痕迹。

　　他们的研究涵盖了18类恶意软件的几千个样本，从某企业网络中捕获的数百万加密数据流中识别出了数万恶意流量。他们指出，这种检测可能只企业网络有效,而对诸如服务提供商之类的无效。

　　在研究人员数据集中的深度包检测，其主要应用是嗅探出客户端和服务器之间的联系消息，以及识别出TLS版本，而不是用户数据。

　　仅仅网络数据本身，就足以鉴别TLS流是否属于绝大多数恶意软件家族。甚至在不同恶意软件家族使用同样的TLS参数的情况下，通常也能经由“基于流的特征”而被鉴别出来。

　　这些特征包括：流元数据(输入输出的字节、包、网络端口号、流持续时间);包长度和时间的序列;字节分布;TLS头信息。

　　研究囊括的恶意软件家族有：bergat、Deshacop、Dridex、Dynamer、Kazy、Parite、Razy、Zedbot和Zusy等等。

　　研究人员认为，针对流分析的正确机器学习应用，让他们在单独加密流的恶意软件归属问题上拥有了90.3%的准确率，而在5分钟窗口时间对所有加密流的分析中达到了93.2%的准确率。

　　责任编辑：DJ编辑