CN106603519B

CN106603519B - 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法

Info

Publication number: CN106603519B
Application number: CN201611114844.4A
Authority: CN
Inventors: 曹自刚; 熊刚; 李镇; 石俊峥
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2016-12-07
Filing date: 2016-12-07
Publication date: 2019-12-10
Anticipated expiration: 2036-12-07
Also published as: CN106603519A

Abstract

本发明涉及一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法。该方法包括1)对已知恶意服务的证书进行采集；2)提取采集的证书的属性，根据不同服务类型对证书进行分类，从各类证书的属性域和属性关系中提取泛化特征；3)基于提取的泛化特征，在真实网络环境中进行基于证书泛化特征的潜在恶意服务发现。如果步骤2)无法提取泛化特征，则通过跟踪已知恶意服务器的证书的变迁行为来发现证书变化规律，进而发现恶意服务。本发明能够针对SSL/TLS加密的远程控制类恶意服务，在可控范围内合理筛选，扩大发现的恶意服务器集合，从而为进一步深入安全分析及取证提供依据。

Description

一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于证书特征泛化和服务器变迁行为的SSL/TLS加密恶意服务发现方法。

背景技术

近些年，处于数据安全和隐私考虑，以HTTPS为代表的Secure Sockets Layer/Transport Layer Security(SSL/TLS，即安全套阶层协议和传输层安全协议)加密应用服务明显增多。恶意服务也逐渐迁移到SSL/TLS上，利用这种公共加密方案来隐藏自身，达到躲避安全检测的目的。目前已经发现多种恶意软件采用SSL/TLS加密的命令与控制通道，比如Dyre和Dridex木马(窃取银行账号)，Gozi(金融犯罪，盗取账号)和TorrentLocker等勒索软件，危害很大。

传统的恶意服务检测方法往往基于通信特征签名或内容、行为异常，当恶意应用采用SSL/TLS加密且混合在海量的SSL/TLS加密网络流中时，功能基本失效或效果急剧下降。SSL/TLS中的恶意服务发现方面，已有研究侧重于利用证书相关的特征学习来进行Web欺诈类检测，比如钓鱼和近似域名，而对于木马、僵尸网络等以长期控制、信息窃取为目的的恶意应用服务，尚未见到显著的系统性的研究成果。就基于证书的SSL恶意服务发现方面，相关工作有：

1)Harvesting SSL Certificate Data to Identify Web-Fraud(2009)，基于证书特征发现钓鱼和近似域名的Web欺诈网站。首先通过主动测量采集合法、钓鱼和近似域名等三种域名类型的证书；然后，采用了13个证书相关的特征(MD5哈希值，仿冒主题，自签名，过期，公共证书，公共序列号，有效期大于3年，颁发者通用名、机构名、国家名，使用者国家名，序列号长度，主机与通用名距离)借助于随机森林、支持向量机、决策树、神经网络等多种机器学习的方法对少量数据集进行训练和测试，取得了约80％的钓鱼域名检测准确率和93％的近似域名检测准确率。

2)C&C Botnet Detection over SSL(MasterThesis，2014.10)，作者采用6个特征进行SSL中的僵尸网络命令与控制通道检测，分别来自证书和SSL握手消息的服务器身份标识(Server Name Indication)扩展，具体来说为：1)证书验证结果(是否是可信证书)；2)证书的有效期的开始时间；3)是否采用双向认证；4)通过TLS协议的扩展项中server name和证书的通用名，即主机名与证书持有者是否相符。5)当遇到自签名证书时，计算servername和最常访问的100个站点(Alexa)之间的Levenshtein距离。6)分析server name域，看是否是随机的值。通过基于特征的规则借助脚本和人工进行了三步分析，最后从67个SSL连接中识别出恶意的SSL连接37个。

3)在网络安全实践中，SSL BLACKLIST(https://sslbl.abuse.ch/)自2014年5月开始持续发布了该团队发现的已知恶意SSL/TLS服务器的证书SHA1指纹，简略的证书信息，服务器IP及端口，以及被列入黑名单的原因(僵尸网络、木马或勒索软件等)，为公众提供了一种基于证书哈希指纹和IP黑名单的SSL/TLS加密恶意服务发现方法(Mishari M A,DeCristofaro E,Defrawy K E,et al.Harvesting SSL certificate data to identifyWeb-fraud[J].arXiv preprint arXiv:0909.3688,2009.Bortolameotti R.C&C BotnetDetection over SSL[J].2014.)。

基于证书特征的机器学习方法，一般从证书颁发者、使用者身份信息可信度，使用者名称与主机名的符合度，与知名域名的相似度等方面提取特征，借助于已知的钓鱼欺诈等公开数据集进行训练和测试。此类方法往往依赖于训练数据集本身，需要反复训练调整参数获得较高性能，在实际应用中实时性不足。同时，这些方法仅针对钓鱼等服务，并未针对木马、僵尸网络等具有远程控制功能的恶意服务开展研究。此外，此类方法仅从证书出发，没有考虑服务特有的行为属性，当恶意对抗方故意使证书属性变化大、差异性大时，该方法性能将急剧下降，鲁棒性不足。

基于证书SHA1等哈希算法生成的指纹以及对应恶意服务器IP端口的检测方法从原理上属于传统的已知黑名单过滤，明显具有滞后性；同时，由于控制者可以随时快速频繁更新证书和服务器IP，而证书的属性本身没有可以提取的固定指纹特征，导致仅靠少量已知的SHA1指纹和IP地址黑名单的检测方法难以大面积发现类似恶意服务，实际意义不大。

发明内容

本发明的目的在于提供一种新的SSL/TLS加密的恶意服务通道的发现方法，侧重于僵尸网络、木马的命令控制等通信信道进行检测。其主要的目的是针对SSL/TLS加密的远程控制类恶意服务，在可控范围内合理筛选，扩大发现的恶意服务器集合，从而为进一步深入安全分析及取证提供依据。

本发明的方案可根据样本证书属性自动选取特征，无需根据多次训练反复挑选调整特征集合，在特征泛化方法上本方法采用基于统计属性的自动特征挖掘，可以从有限样本中泛化出公共特征并避免了特征过细导致漏检率升高，同时从服务器群体性证书变迁行为的规律出发进行恶意服务识别，避免了已知方案中过分依赖于已知恶意服务证书特征的缺点，提高了鲁棒性。

本发明采用的技术方案如下：

一种SSL/TLS加密恶意服务发现方法，包括以下步骤：

1)对已知恶意服务的证书进行采集；

2)提取采集的证书的属性，根据不同服务类型对证书进行分类，从各类证书的属性域和属性关系中提取泛化特征；

3)基于提取的泛化特征，在真实网络环境中进行基于证书泛化特征的潜在恶意服务发现。

如果步骤2)无法提取泛化特征，则通过跟踪已知恶意服务器的证书的变迁行为来发现证书变化规律，进而发现恶意服务。

本发明中的基于证书特征泛化和服务器证书变迁行为的两个关键技术思路可以单独执行，即分别独立形成技术方案，也可能取得较好的结果。一般情况下，两者综合起来可以得到更好的结果。两者的执行顺序也可以调换。

进一步地，所述证书变化规律包括：服务器更新证书的频率、证书属性域及关系变化的规律、周期性交替使用一定集合内的证书，等等。

进一步地，步骤1)采集证书时获取原始证书或者只获取证书的属性域，采集证书的方法包括但不限于：从公开网站、恶意服务相关数据集中提取恶意服务器或证书信息，或者通过执行恶意样本数据集中的样本，再通过网络通信流量捕获提取证书信息；如果获取到的是服务器，则借助自动化或人工方式访问该服务器获取证书信息。

进一步地，步骤2)提取泛化特征的方法是：基于已知的有限证书集合提取可能的候选共性特征，并对候选特征的合理性和有效性进行评估，根据评估结果进行迭代提取和评估；然后将已知证书集合的大部分作为训练集，小部分作为验证集，通过训练集提取的候选特征，并在验证集进行准确性验证，当准确度高于设定阈值时认为泛化成功。

本发明的技术关键点在于：

1、通过多维度的自动特征泛化，可以快速有效提取已知样本的证书主要属性中的特征，且避免了特征过细的缺陷；

2、通过一定时间段的证书变迁跟踪，可通过恶意服务中服务器证书的周期性、间隔性证书更新行为及更新频率，可以在缺乏泛化特征或泛化特征不够准确的情况下，发现恶意服务的服务器。

利用本发明的方法进行SSL/TLS加密服务中的木马、僵尸网络等恶意应用服务发现，具有以下优点：

1)可根据样本证书属性自动选取特征，无需根据多次训练反复挑选调整特征集合；

2)在特征泛化方法上本方法采用基于统计属性的自动特征挖掘，可以从有限样本中泛化出公共特征并避免了特征过细导致漏检率升高；

3)从服务器群体性证书变迁行为的规律出发进行恶意服务识别，避免了已知方案中过分依赖于已知恶意服务证书特征的缺点，提高了鲁棒性，具备较强可用性；

4)较好的扩展性，可以借助少量样本发现大量可疑服务，可以发现未知服务；相比而言，基于特征签名和机器学习的方法扩展性较差；

5)相比传统基于签名特征的方法，具有实时性好的优点，可以通过泛化特征或服务器证书更新行为在恶意服务出现或变化后的第一时间发现。相比而言，基于已知特征签名的方法往往具有滞后性，基于机器学习的方法训练耗时较长，实时性受影响。

6)除了恶意服务，还可用于相似或同类服务的发现。

附图说明

图1是本发明的方法的实施步骤流程图，其中虚线部分是可选步骤。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明。

本发明提供的SSL/TLS加密恶意服务发现方法，其方法流程包括以下几个技术步骤：

1)已知恶意服务的证书采集

本发明所述证书是指SSL/TLS协议握手阶段传输的服务器使用的X.509证书，又称数字证书，由服务器向客户端出示。从公开网站(如SSL BLACKLIST)、恶意服务相关数据集中提取恶意服务器或证书信息，或者通过执行恶意样本数据集中的样本，再通过网络通信流量捕获提取证书信息。如果获取到的是服务器，则需要借助自动化(或人工)方式访问该服务器获取证书信息。此外，也可以在网络流量中过滤上述途径中已知恶意服务器IP对应的证书信息。

2)证书属性提取及特征泛化

首先，借助于公开的SSL证书库或者自行开发的证书解析程序将证书的属性提取出来，然后根据不同服务类型的证书分类，从各类证书的属性域和属性关系中自动提取泛化特征。所述属性域是指证书的版本、序列号、签名算法、公钥类型、公钥长度、有效期起止时间、有效期长度、颁发者和使用者的详细信息(如通用名、机构名、国家名、机构单元等)，以及证书的扩展。所述属性关系是指：a)不同属性之间的字符串本身的字符集构成及外显形式；b)不同属性之间的整体或部分字段相似或相等关系；c)属性内部及属性之间的特定字符串组合出现或同时出现；d)属性内部及不同属性之间字段个数、字段数值、字符串长度的数量相等；e)固定或有限范围的等差值关系。

泛化特征的提取主要考虑如下属性维度：数值取值范围，字符串长度，字符串的结构、字符集构成及比例，颁发者(Issuer)/使用者(Subject)的子域属性的个数及各个子域属性之间的关系(比如长度依赖关系)，是否自签名等。提取的特征保证了对已知样本的有效性。如果泛化成功，特征较明显，执行步骤3)，否则泛化过于宽泛或因证书差异大、样本过少等无法泛化，则执行步骤4)。

本发明所述“泛化”是指基于特定恶意服务的有限或少数证书样本，推断出该服务使用的证书(很可能远大于获取到的已知证书数量)的一般性特征规律；进行泛化的方法是，基于已知的有限证书集合提取可能的候选共性特征，并对候选特征的合理性和有效性进行评估，根据评估结果进行迭代提取和评估；将已知证书集合的大部分作为训练集，小部分作为验证集，通过训练集提取的候选特征，并在验证集进行准确性验证。当准确度高于设定阈值时认为泛化成功。训练集的比例可自行设定，建议为60％-90％；准确度阈值可以自行设定，建议设定为80％-100％。

3)基于泛化特征的恶意服务发现

基于泛化的特征，在真实网络环境(如个人主机、企业网关、校园网络出口、运营商主干网络等)进行基于证书泛化特征的潜在恶意服务发现，即借助泛化得到的特征对网络流量中的所有SSL/TLS服务流量进行基于特征的匹配检测，命中泛化特征的即认为是潜在恶意服务，则提取其相关的客户端IP地址、服务器IP地址、端口和证书等信息。此处得到的结果中包含了可疑的恶意服务器IP、端口和证书。可以借助受害主机查验、恶意服务人工或自动验证、或步骤4)等方法进一步分析，使结果更为准确。

4)主动证书变迁行为跟踪

对于已知的恶意服务器分类后分别跟踪其服务器变化，具体来说就是定期主动探测获取服务器的证书，并进行前后多次记录对比，发现其证书变化规律，包括但不限于服务器更新证书的频率(更换时间间隔)、证书属性域及关系变化的规律(新旧证书之间)、周期性交替使用一定集合内的证书等。由于僵尸网络、木马等远程控制类的恶意服务经常需要进行命令与控制通信，为避免暴露或黑名单机制对自身网络安全性产生影响，控制者会定期批量更新其所配置服务器的证书，且让这些证书彼此不一致且看起来随机。通过持续跟踪可以获取到服务器证书更新频率或是否定期更新信息，从而可借助证书更新频率来发现恶意服务。数据集可以是被动方式获取的证书数据集(如科研网络)，也可以是主动扫描获取的证书数据集(如RAPID7的全网IPv4的443等常用加密服务端口上的证书数据集)。同时，对多次变迁的同一服务的证书，可借助步骤2)对特征进行泛化，再借助步骤3)进行恶意服务发现。

实例1基于证书特征泛化在某科研网络中发现新的银行窃密木马服务

通过基于SSLBL中的Dyre网银窃密木马部分证书信息发现更多类似恶意服务。2015年8月31日从SSLBL网站(https://sslbl.abuse.ch)网页上采集了3127个Dyre的证书简略信息和相应的黑名单IP端口(共653个)信息。借助于特征泛化得到如下两类主要的泛化特征：

在国内某科研网络的流量中获取证书，对上述两类特征进行检测，在一周内发现了520个新的证书，对应发现1741个可疑服务器，其中1708个为新发现，33个在SSLBL的Dyre的完整黑名单列表中。通过主动扫描方法对新发现的服务器进行抽样探测，发现服务器的行为与恶意服务器非常相似，不提供正常Web服务。该结果证明了本方法的有效性。

实例2基于证书特征泛化和全网扫描证书数据集发现银行窃密木马服务

通过基于SSLBL中的Dridex网银窃密木马部分证书信息发现更多类似恶意服务。2015年10月，将SSLBL中的Dridex木马采用的证书特征进行了泛化，之后将泛化特征应用到RAPID7的IPv4全网的443端口的证书扫描数据集中进行实验(https://scans.io)，发现约500个可疑SSL/TLS服务器IP。

实例3基于粗粒度特征和服务器证书更新频率发现未知加密恶意远程控制类服务

通过对已知恶意服务器的一个月的监测，发现某木马类控制服务的远程服务器证书更新频率为3天，但泛化特征不明显。因此，借助于证书更新频率进行筛选，最终在某企业网络出口24小时流量中成功发现5个未知的远程控制类服务器。

本发明除上述实施例外，也可以采用其它实施方式，包括：

1、步骤1)即已知恶意服务的证书采集中，恶意服务的证书获取途径是多种多样的，除了列出的方法外，还可以从安全公司等途径获取。此外，此步骤的证书采集不一定需要原始证书，只要获取到证书的属性域即可。

2、本方案中的基于证书特征泛化和服务器证书变迁行为的两个关键技术思路可以单独执行，即步骤2)3)、步骤4)可以分别独立形成技术方案，也可能取得较好的结果。只不过一般情况下，步骤2)3)4)综合起来可以得到更好的结果。

3、由于两者相对独立，又相互支撑，步骤2)3)和步骤4)的执行顺序可以调换。

4、在准确度要求不高的场景，步骤2)中的泛化过程可以进行简化，略去或简化候选特征验证评估；或者采用部分属性域的特征，或采用部分属性关系特征。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种SSL/TLS加密恶意服务发现方法，其特征在于，包括以下步骤：

1)对已知恶意服务的证书进行采集；

2)提取采集的证书的属性，根据不同服务类型对证书进行分类，从各类证书的属性域和属性关系中提取泛化特征：

基于已知的有限证书集合提取可能的候选共性特征，并对候选特征的合理性和有效性进行评估，根据评估结构进行替代提取和评估；然后将已知证书集合的大部分作为训练集，小部分作为验证集，通过训练集提取的候选特征，并在验证集进行准确性验证，当准确度高于设定阈值时认为泛化成功；

对泛化特征的提取考虑如下属性维度：数值取值范围，字符串长度，字符串的结构，字符集构成及比例，颁发者/使用者的子域属性的个数及各个子域属性之间的关系，是否自签名；

2.如权利要求1所述的方法，其特征在于：如果步骤2)无法提取泛化特征，则通过跟踪已知恶意服务器的证书的变迁行为来发现证书变化规律，进而发现恶意服务。

3.如权利要求2所述的方法，其特征在于，所述证书变化规律包括：服务器更新证书的频率、证书属性域及关系变化的规律、周期性交替使用一定集合内的证书。

4.如权利要求2或3所述的方法，其特征在于：对多次变迁的同一服务的证书，通过步骤2)对特征进行泛化，再借助步骤3)进行恶意服务发现。

5.如权利要求1所述的方法，其特征在于，步骤1)采集证书时获取原始证书或者只获取证书的属性域，采集证书的方法包括：从公开网站、恶意服务相关数据集中提取恶意服务器或证书信息，或者通过执行恶意样本数据集中的样本，再通过网络通信流量捕获提取证书信息；如果获取到的是服务器，则借助自动化或人工方式访问该服务器获取证书信息。

6.如权利要求1所述的方法，其特征在于：步骤3)得到的结果中包含可疑的恶意服务器IP、端口和证书，借助受害主机查验、恶意服务人工或自动验证的方法进一步分析以使结果更为准确。