TWI747093B - 驗證惡意加密連線的方法及系統 - Google Patents
驗證惡意加密連線的方法及系統 Download PDFInfo
- Publication number
- TWI747093B TWI747093B TW108144057A TW108144057A TWI747093B TW I747093 B TWI747093 B TW I747093B TW 108144057 A TW108144057 A TW 108144057A TW 108144057 A TW108144057 A TW 108144057A TW I747093 B TWI747093 B TW I747093B
- Authority
- TW
- Taiwan
- Prior art keywords
- program
- encrypted connection
- terminal
- malicious
- sample
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種驗證惡意加密連線的方法及系統。所述方法包括:取得以加密連線傳輸於中繼站及終端之間的流量連線資料;取得運行於終端上的特定應用程式的加密連線指紋及加密連線在終端上佔用的特定執行埠;反應於判定加密連線指紋屬於惡意加密連線指紋,要求終端安裝代理程式;從終端接收由代理程式回傳的程式樣本;反應於判定程式樣本匹配於多個已知惡意程式樣本的其中之一,判定程式樣本為惡意程式樣本。
Description
本發明是有關於一種網路資安技術,且特別是有關於一種驗證惡意加密連線的方法及系統。
由於傳輸層安全性協定/安全通訊協定(Transport Layer Security/Secure Sockets Layer; SSL/TLS)以便為通過網際網路進行機敏資訊交換以提供機密性,這樣的系統與方法可用於保護隱私和機密性外,但也可用於隱藏惡意活動。由於網際網路上加密的SSL/TLS流量不斷增長,組織目前面臨著流量檢查的挑戰。從網路安全的角度來看,攻擊者越來越多地採用加密流量來隱藏他們的惡意活動。
有鑑於此,本發明提供一種驗證惡意加密連線的方法及系統,其可用以解決上述技術問題。
本發明提供一種驗證惡意加密連線的方法,包括:取得以一加密連線傳輸於一中繼站及一終端之間的一流量連線資料;取得運行於終端上的一特定應用程式的一加密連線指紋及加密連線在終端上佔用的一特定執行埠;反應於判定加密連線指紋屬於一惡意加密連線指紋,要求終端安裝一代理程式,其中代理程式用以依據特定執行埠採集特定應用程式的一程式樣本;從終端接收由代理程式回傳的程式樣本;反應於判定程式樣本匹配於多個已知惡意程式樣本的其中之一,判定程式樣本為一惡意程式樣本。
本發明提供一種驗證惡意加密連線的系統,包括網路流量側錄與保存模組、加密連線指紋生成模組、情資交叉驗證分析模組、終端惡意樣本採集模組及自主化情資分析模組。網路流量側錄與保存模組取得以一加密連線傳輸於一中繼站及一終端之間的一流量連線資料。加密連線指紋生成模組取得運行於終端上的一特定應用程式的一加密連線指紋及加密連線在終端上佔用的一特定執行埠。情資交叉驗證分析模組判斷加密連線指紋是否屬於惡意加密連線指紋。終端惡意樣本採集模組經配置以:反應於判定加密連線指紋屬於惡意加密連線指紋,要求終端安裝一代理程式,其中代理程式用以依據特定執行埠採集特定應用程式的一程式樣本;從終端接收由代理程式回傳的程式樣本。反應於判定程式樣本匹配於多個已知惡意程式樣本的其中之一,自主化情資分析模組判定程式樣本為一惡意程式樣本。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
請參照圖1,其是依據本發明之一實施例繪示的驗證惡意加密連線的系統示意圖。在本實施例中,系統100可視為一種網路流量側錄系統,其可設置於某機構的網路閘道口,以進行相關的監控。如圖1所示,系統100可包括網路流量側錄與保存模組102、加密連線指紋生成模組103、情資交叉驗證分析模組104、自主化情資資料庫105、終端惡意樣本採集模組106、可疑樣本資料庫107、自主化情資分析模組108及惡意加密連線樣本資料庫109。
在本發明的實施例中,系統100中的各模組可協同實現本發明提出的驗證惡意加密連線的方法,而各模組的功能/操作的相關細節詳述如下。
請參照圖2,其是依據本發明之一實施例繪示的驗證惡意加密連線的方法流程圖。本實施例的方法可由圖1的系統100執行,以下即搭配圖1所示的元件說明圖2各步驟的細節。
首先,在步驟S210中,網路流量側錄與保存模組102可取得以加密連線傳輸於中繼站11及終端12之間的流量連線資料。在本發明的實施例中,終端12例如是屬於系統100所欲保護的機構的伺服器/設備,而中繼站11例如是可疑的惡意終端,但可不限於此。
在一實施例中,上述流量連線資料例如是封包截取(packet capture,PCAP)網路連線資料,並可包括例如時間戳記、來源地址(例如來源IP)、來源埠、目標地址(例如目標IP)、目標埠等資訊,但可不限於此。
之後,在步驟S220中,加密連線指紋生成模組103可取得運行於終端12上的特定應用程式的加密連線指紋及加密連線在終端上佔用的特定執行埠。在一實施例中,加密連線指紋生成模組103可取得上述加密連線在建立時所對應的客戶端交握訊息。在一實施例中,上述客戶端交握訊息例如是ClientHello訊息,但可不限於此。
之後,加密連線指紋生成模組103可從加密連線的客戶端交握訊息中取得多個訊息特徵。在一實施例中,若客戶端交握訊息為ClientHello訊息,則其中的訊息特徵例如包括SSLVersion、CipherSuite、SSLExtension、EllipticCurve和EllipticCurvePointFormat的至少其中之一,但可不限於此。
接著,加密連線指紋生成模組103可基於加密連線的上述訊息特徵產生特定應用程式的加密連線指紋。在一實施例中,加密連線指紋生成模組103可基於上述訊息特徵計算一MD5雜湊值,以作為上述特定應用程式的加密連線指紋(其例如是一JA3指紋),但可不限於此。並且,加密連線指紋生成模組103可以上述流量連線資料記錄的目標埠作為加密連線在終端12上佔用的特定執行埠,但可不限於此。
在取得特定應用程式的加密連線指紋及加密連線在終端12上佔用的特定執行埠之後,情資交叉驗證分析模組104可判斷加密連線指紋是否屬於惡意加密連線指紋。在一實施例中,自主化情資資料庫105中可儲存有多個已知惡意加密連線指紋,而情資交叉驗證分析模組104可判斷上述加密連線指紋是否匹配於前述已知惡意加密連線指紋的其中之一。若是,則情資交叉驗證分析模組104可判定上述加密連線指紋屬於惡意加密連線指紋,反之則可判定上述加密連線指紋不屬於惡意加密連線指紋。
在步驟S230中,反應於情資交叉驗證分析模組104判定加密連線指紋屬於惡意加密連線指紋,終端惡意樣本採集模組106可要求終端12安裝代理程式(agent),其中代理程式用以依據特定執行埠採集特定應用程式的程式樣本。在一實施例中,終端惡意樣本採集模組106可依據終端12的作業系統(例如WindowsTM
、LinuxTM
等)產生對應於此作業系統的代理程式。之後,終端惡意樣本採集模組106可將此代理程式提供予終端12,以指示終端12安裝此代理程式。
在終端12依指示安裝上述代理程式之後,此代理程式即可取得上述特定應用程式的程式識別(process ID)、程式名稱(例如「xxx.exe」)及程式路徑及程式樣本(其可理解為應用程式的檔案本身)。
因此,在步驟S240中,終端惡意樣本採集模組104可從終端12接收由代理程式回傳的程式樣本(及上述其他相關的資訊)。
在一實施例中,上述程式樣本可暫存於可疑樣本資料庫107中,以待進一步分析。此外,在一實施例中,惡意加密連線樣本資料庫109中可儲存有多個已知惡意程式樣本的相關資訊,用以讓自主化情資分析模組108作為比對的依據。在此情況下,自主化情資分析模組108可判斷上述程式樣本是否匹配於多個已知惡意程式樣本的其中之一。
在一實施例中,惡意加密連線樣本資料庫109中可儲存有上述已知惡意程式樣本個別的雜湊值(下稱已知雜湊值),而這些已知雜湊值例如是各已知惡意程式樣本經特定雜湊值運算機制(例如MD5、SHA-256、SHA-1等)而求得的雜湊值,但可不限於此。而自主化情資分析模組108可先依上述特定雜湊值運算機制將上述程式樣本轉換為第一雜湊值,並判斷此第一雜湊值是否匹配於上述已知雜湊值的其中之一。
在一實施例中,反應於判定第一雜湊值匹配於上述已知雜湊值的其中之一,自主化情資分析模組108可判定程式樣本匹配於上述已知惡意程式樣本的其中之一,反之則可判定程式樣本未匹配於上述已知惡意程式樣本的其中之一。
之後,在步驟S250中,反應於判定程式樣本匹配於多個已知惡意程式樣本的其中之一,自主化情資分析模組108可判定程式樣本為惡意程式樣本。另一方面,若判定程式樣本未匹配於上述已知惡意程式樣本的其中之一,即代表此程式樣本屬於未知樣本,故自主化情資分析模組108可對程式樣本執行靜態分析及動態分析。
在一實施例中,在對程式樣本執行靜態分析時,自主化情資分析模組108例如可基於YARA規則、執行檔簽章內容或與執行檔Mutex等進行特徵比對。另外,在對程式樣本執行動態分析時,自主化情資分析模組108例如可透過沙箱分析技術(Sandbox)進行,主要目的是分析記錄樣本在監控的沙箱環境中所有行為,如: 檔案存取行為、系統登錄檔行為、網路連線行為、系統服務行為與函式庫載入行為等,但可不限於此。
在一實施例中,動態分析的項目/內容可例示如下表1。
表1
| 類型 | 紀錄項目名稱 |
| 檔案存取行為 | 檔案讀取 |
| 檔案寫入 | |
| 檔案刪除 | |
| 系統登錄檔行為 | 登錄檔讀取 |
| 登錄檔寫入 | |
| 登錄檔刪除 | |
| 網路連線行為 | 連線IP與服務埠 |
| ICMP通訊協定連線 | |
| HTTP通訊協定連線 | |
| DNS通訊協定連線 | |
| 系統服務行為 | 創建服務時間 |
| 開始服務時間 | |
| 停止服務時間 | |
| 函式庫載入行為 | 載入函式庫 |
之後,自主化情資分析模組108可基於靜態分析及動態分析的結果估計程式樣本對應的信譽分數。以上靜/動態分析及估計信譽分數的細節可參照相關習知技術的說明,於此不另贅述。
在一實施例中,自主化情資分析模組108可判斷上述信譽分數是否高於一惡意門限值。反應於判定信譽分數高於惡意門限值,自主化情資分析模組108可判定程式樣本為惡意程式樣本,並可將此程式樣本儲存至惡意加密連線樣本資料庫109中,並且更新相關資訊至自主化情資資料庫105中,如下表2所示。
表2
| 類型 | 紀錄項目名稱 |
| Timestamp | 時間 |
| JA3 Fingerprints | 惡意加密連線指紋 |
| Category | 威脅群組分類 |
| IP:port | 中繼站位置與傳輸埠 |
| Malware sample | 惡意樣本 |
| Reputation score | 惡意樣本信譽分數 |
另一方面,若信譽分數未高於惡意門限值,則自主化情資分析模組108可判定程式樣本為正常程式樣本。
綜上所述,本發明可藉由企業內對外之側錄流量,計算其加密連線指紋並進行交叉驗證分析,將可初步鎖定場域內可疑受駭終端,再透過經由可疑受駭終端採集之可疑惡意樣本並進行一連串的靜、動態惡意程式分析,藉此以判斷該樣本是否為惡意樣本,並回饋至自主化情資與惡意加密連線樣本資料庫中。
另外,本發明至少還具備以下特點:(1)提供一種自動化比對與分析企業場域內終端設備使用加密連線服務之受駭程度;(2)提供一種可動態確認可疑受駭終端與中繼站進行加密連線溝通之傳輸埠,並鎖定執行之程序以便於收集與儲存至可疑惡意樣本資料庫中等待分析;(3)本發明包含使用惡意樣本信譽評等、靜態特徵偵測與動態行為分析,當惡意程式變形、加殼或程式碼混淆的情況下亦可正確分析;(4)提供將已確認之惡意樣本情資回饋至惡意加密連線樣本資料庫與自主化情資資料庫,以便產生在地化資安威脅情資;(5)在實務上達成不將加密流量進行解密亦能偵測出可疑的惡意網路連線。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
11:中繼站
12:終端
100:系統
102:網路流量側錄與保存模組
103:加密連線指紋生成模組
104:情資交叉驗證分析模組
105:自主化情資資料庫
106:終端惡意樣本採集模組
107:可疑樣本資料庫
108:自主化情資分析模組
109:惡意加密連線樣本資料庫
S210~S250:步驟
圖1是依據本發明之一實施例繪示的驗證惡意加密連線的系統示意圖。
圖2是依據本發明之一實施例繪示的驗證惡意加密連線的方法流程圖。
S210~S250:步驟
Claims (10)
- 一種驗證惡意加密連線的方法,包括: 取得以一加密連線傳輸於一中繼站及一終端之間的一流量連線資料; 取得運行於該終端上的一特定應用程式的一加密連線指紋及該加密連線在該終端上佔用的一特定執行埠; 反應於判定該加密連線指紋屬於一惡意加密連線指紋,要求該終端安裝一代理程式,其中該代理程式用以依據該特定執行埠採集該特定應用程式的一程式樣本; 從該終端接收由該代理程式回傳的該程式樣本; 反應於判定該程式樣本匹配於多個已知惡意程式樣本的其中之一,判定該程式樣本為一惡意程式樣本。
- 如申請專利範圍第1項所述的方法,其中該流量連線資料為一封包截取網路連線資料。
- 如申請專利範圍第1項所述的方法,其中該流量連線資料包括時間戳記、來源地址、來源埠、目標地址、目標埠,且取得運行於該終端上的該特定應用程式的該加密連線指紋及該加密連線在該終端上佔用的該特定執行埠的步驟包括: 取得該加密連線在建立時所對應的一客戶端交握訊息; 從該加密連線的該客戶端交握訊息中取得多個訊息特徵; 基於該加密連線的該些訊息特徵產生該特定應用程式的該加密連線指紋; 以該流量連線資料記錄的該目標埠作為該加密連線在該終端上佔用的該特定執行埠。
- 如申請專利範圍第3項所述的方法,其中該客戶端交握訊息包括一ClientHello訊息,且該些訊息特徵包括SSLVersion、CipherSuite、SSLExtension、EllipticCurve和EllipticCurvePointFormat的至少其中之一。
- 如申請專利範圍第1項所述的方法,其中反應於判定該加密連線指紋匹配於多個已知惡意加密連線指紋的其中之一,判定該加密連線指紋屬於該惡意加密連線指紋,反之則判定該加密連線指紋不屬於該惡意加密連線指紋。
- 如申請專利範圍第1項所述的方法,其中要求該終端安裝該代理程式的步驟包括: 依據該終端的一作業系統產生對應於該作業系統的該代理程式; 將該代理程式提供予該終端,以指示該終端安裝該代理程式。
- 如申請專利範圍第1項所述的方法,更包括: 從該終端接收由該代理程式回傳的該特定應用程式的一程式識別、程式名稱及程式路徑。
- 如申請專利範圍第1項所述的方法,其中該些已知惡意程式樣本對應於多個已知雜湊值,且所述方法更包括: 將該程式樣本轉換為一第一雜湊值; 反應於判定該第一雜湊值匹配於該些已知雜湊值的其中之一,判定該程式樣本匹配於該些已知惡意程式樣本的其中之一,反之則判定該程式樣本未匹配於該些已知惡意程式樣本的其中之一。
- 如申請專利範圍第1項所述的方法,更包括: 反應於判定該程式樣本未匹配於該些已知惡意程式樣本的其中之一,對該程式樣本執行一靜態分析及一動態分析; 基於該靜態分析及該動態分析的結果估計該程式樣本對應的一信譽分數; 反應於判定該信譽分數高於一惡意門限值,判定該程式樣本為一惡意程式樣本,反之則判定該程式樣本為一正常程式樣本。
- 一種驗證惡意加密連線的系統,包括: 一網路流量側錄與保存模組,其取得以一加密連線傳輸於一中繼站及一終端之間的一流量連線資料; 一加密連線指紋生成模組,其取得運行於該終端上的一特定應用程式的一加密連線指紋及該加密連線在該終端上佔用的一特定執行埠; 一情資交叉驗證分析模組,其判斷該加密連線指紋是否屬於該惡意加密連線指紋; 一終端惡意樣本採集模組,其經配置以: 反應於判定該加密連線指紋屬於該惡意加密連線指紋,要求該終端安裝一代理程式,其中該代理程式用以依據該特定執行埠採集該特定應用程式的一程式樣本; 從該終端接收由該代理程式回傳的該程式樣本; 一自主化情資分析模組,其反應於判定該程式樣本匹配於多個已知惡意程式樣本的其中之一,判定該程式樣本為一惡意程式樣本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108144057A TWI747093B (zh) | 2019-12-03 | 2019-12-03 | 驗證惡意加密連線的方法及系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108144057A TWI747093B (zh) | 2019-12-03 | 2019-12-03 | 驗證惡意加密連線的方法及系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202123044A TW202123044A (zh) | 2021-06-16 |
| TWI747093B true TWI747093B (zh) | 2021-11-21 |
Family
ID=77516851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108144057A TWI747093B (zh) | 2019-12-03 | 2019-12-03 | 驗證惡意加密連線的方法及系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI747093B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI543011B (zh) * | 2012-01-10 | 2016-07-21 | Verint Systems Ltd | Method and system for extracting digital fingerprints of malicious files |
| CN107211011A (zh) * | 2014-11-25 | 2017-09-26 | 恩西洛有限公司 | 用于恶意代码检测的系统及方法 |
| US20190190946A1 (en) * | 2017-12-20 | 2019-06-20 | Paypal, Inc. | Detecting webpages that share malicious content |
| US20190319977A1 (en) * | 2019-06-27 | 2019-10-17 | Intel Corporation | Systems and Methods to Fingerprint and Classify Application Behaviors Using Telemetry |
-
2019
- 2019-12-03 TW TW108144057A patent/TWI747093B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI543011B (zh) * | 2012-01-10 | 2016-07-21 | Verint Systems Ltd | Method and system for extracting digital fingerprints of malicious files |
| CN107211011A (zh) * | 2014-11-25 | 2017-09-26 | 恩西洛有限公司 | 用于恶意代码检测的系统及方法 |
| US20190190946A1 (en) * | 2017-12-20 | 2019-06-20 | Paypal, Inc. | Detecting webpages that share malicious content |
| US20190319977A1 (en) * | 2019-06-27 | 2019-10-17 | Intel Corporation | Systems and Methods to Fingerprint and Classify Application Behaviors Using Telemetry |
Non-Patent Citations (3)
| Title |
|---|
| John Althouse, TLS Fingerprinting with JA3 and JA3S, 2019/1/16, https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967 |
| John Althouse, TLS Fingerprinting with JA3 and JA3S, 2019/1/16, https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967; * |
| 羅文揚、鄭棕翰、黃傳強、陳建智、張光宏,結合加密連線指紋和威脅情資分析的惡意加密流量偵測系統(演講影音檔),2018/10/24,http://knowledge.colife.org.tw/one_video/index.aspx?sid=10501 * |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202123044A (zh) | 2021-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
| US9306964B2 (en) | Using trust profiles for network breach detection | |
| JP2020095753A (ja) | マルウェアのランタイム中の自動検出 | |
| US20210240826A1 (en) | Building multi-representational learning models for static analysis of source code | |
| US20190182286A1 (en) | Identifying communicating network nodes in the presence of Network Address Translation | |
| US9270467B1 (en) | Systems and methods for trust propagation of signed files across devices | |
| US11863571B2 (en) | Context profiling for malware detection | |
| US9992214B1 (en) | Generating malware signatures based on developer fingerprints in debug information | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| US10073980B1 (en) | System for assuring security of sensitive data on a host | |
| US11374946B2 (en) | Inline malware detection | |
| US20210409431A1 (en) | Context for malware forensics and detection | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| US9652615B1 (en) | Systems and methods for analyzing suspected malware | |
| US20230306114A1 (en) | Method and system for automatically generating malware signature | |
| US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
| Duncan et al. | Security implications of running windows software on a Linux system using Wine: a malware analysis study | |
| Bradley et al. | Towards characterizing iot software update practices | |
| TWI747093B (zh) | 驗證惡意加密連線的方法及系統 | |
| KR20240124354A (ko) | 악성 명령 및 제어 트래픽을 탐지하는 딥러닝 파이프라인 | |
| US20240039893A1 (en) | Beacon and threat intelligence based apt detection | |
| US20230069731A1 (en) | Automatic network signature generation | |
| KR102676386B1 (ko) | 인라인 멀웨어 검출 | |
| US12107831B2 (en) | Automated fuzzy hash based signature collecting system for malware detection | |
| WO2019152421A1 (en) | Context profiling for malware detection |