恶意软件加密通信概要分析

部门恶意软件在毗连C&C处事器之前，会通过直接会见互联网网站的方法来检测主机联网环境，这些操纵也会发生TLS加密流量。通过统计发明：行使查询IP类的站点最多，约占39%;行使会见搜刮引擎站点约占30%，其余范例站点约占31%。

图8 检测主机联网情形站点

3. 母体措施正常通讯

传染式病毒是将恶意代码嵌入在可执行文件中，恶意代码在运行母体措施时被触发。母体被传染后发生的流量有母体应用自己联网流量和恶意软件发生的流量两类。因为可被传染的母体措施种别较多，其加密通讯流量与恶意样本自己特征根基无关，本文就不做具体叙述。

4. 白站潜伏中转

白站是指相对付C&C处事器，可信度较高的站点。进攻者将节制呼吁或进攻载荷潜匿在白站中，恶意软件运行后，通过SSL协议会见白站获取相干恶意代码或信息。通过统计发明，最常操作的白站包罗Amazonaws、Github、Twitter等。

图9 白站潜伏中转站点排行

潜匿恶意代码的中转文件范例包罗图片、剧本、二进制数据等，如下三个实例：

5. 蠕虫撒播通讯

蠕虫具有自我复制、自我撒播的成果，一样平常操作裂痕、电子邮件等途径举办撒播。监测表现近几年活泼的邮件蠕虫已经开始回收TLS协议发送邮件撒播，如Dridex家属就含基于TLS协议的邮件蠕虫模块。我们对36个蠕虫家属样本举办说明，有5个家属行使加密通讯协议与C&C处事器成立毗连：

图10蠕虫样本加密通讯占比

6. 其他通讯

除以上几类、尚有一些如告白软件、裂痕操作等发生的恶意加密流量。

四、总结

最后，我们将常见的恶意软件行使加密通讯方法总结如下图：

图11 恶意软件加密通信表示图

我们操作上述分类要领，对前期流量数据举办分类处理赏罚，将恶意加密流量中的杂质举办过滤、并对其举办分类，再举办特性工程和模子实习调参。数据分类处理赏罚的细度和精确度，将直接影响最终模子检出的精确率和误报率。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安详牛（微信公家号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!