Разработан способ обнаружения вредоносов внутри зашифрованного трафика


CiscoИсследователи из компании Cisco сумели разработать способ определения вредоносного трафика, который передается внутри TLS соединения. Примечательно то, что исследователям не пришлось расшифровывать данные.

В представленном исследовании специалисты объяснили, каким образом возможно обнаружить следы вредоносного трафика внутри TLS-потока.

Всего исследователями было проанализировано около тысячи образцов 18 семейств вредоносного ПО, десятки тысяч вредоносных пакетов и миллионы перехваченных зашифрованных пакетов, передаваемых в корпоративных сетях. Придуманный способ обнаружения вредоносной деятельности может применяться исключительно в корпоративных сетях и не подходит для интернет-провайдеров.

Принципы обнаружения вредоносной деятельности основываются на анализе доступных данных при перехвате сетевого трафика:

  • clientHello и serverHello сообщений;
  • идентификаторов;
  • используемой версии протокола TLS;
  • метаданных потока (количество передаваемых байт, пакетов, номера портов, длительность соединения);
  • последовательности длины пакетов и периодичности;
  • распределении байт внутри потока;
  • информации из TLS-заголовка.


Как заверяют исследователи, достаточно проанализировать поток передаваемых данных для обнаружения активности большинства существующих семейств вредоносов. Также возможно определить семейство по структуре передаваемых данных, даже при использовании одинаковых параметров TLS-соединений.

Алгоритмы, описанные исследователями, позволяют достоверно определить активность следующих семейств вредоносов:

  • Bergat;
  • Deshacop;
  • Dridex;
  • Dynamer;
  • Kazy;
  • Parite;
  • Razy;
  • Zedbot;
  • Zusy.


Точность определения вредоносного трафика внутри зашифрованных данных достигает:

  • при анализе одного сетевого потока - 90,3% для каждой семьи вредоносов;
  • при анализе всех сетевых потоков в течение 5-минутного окна - 93,2%.

Обновлено (07.07.2016 23:09)