《APT檢測與惡意加密流量檢測相關(guān)研究》4300字

APT檢測與惡意加密流量檢測相關(guān)研究綜述研究現(xiàn)狀A(yù)PT檢測研究現(xiàn)狀緩解高級持續(xù)性威脅（APT）一直是現(xiàn)有入侵檢測和防御系統(tǒng)的重要關(guān)注點(diǎn)。為了解決APT這類攻擊，人們做了大量的研究工作。文獻(xiàn)ADDINEN.CITE<EndNote><Cite><Author>Brogi</Author><Year>2016</Year><RecNum>29</RecNum><DisplayText><styleface="superscript">[7]</style></DisplayText><record><rec-number>29</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620185942">29</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Brogi,G.</author><author>Tong,Vvt</author></authors></contributors><titles><title>TerminAPTor:HighlightingAdvancedPersistentThreatsthroughInformationFlowTracking</title><secondary-title>IfipInternationalConferenceonNewTechnologies</secondary-title></titles><pages>1-5</pages><dates><year>2016</year></dates><urls></urls></record></Cite></EndNote>[7]中提出了一個APT檢測器TerminAPTor。該檢測器通過信息流跟蹤來發(fā)現(xiàn)APT生命周期內(nèi)觸發(fā)的基本攻擊之間的鏈路。TerminAPTor依賴于一個代理，它可以是一個標(biāo)準(zhǔn)的入侵檢測系統(tǒng)，來檢測這些基本的攻擊。作者通過模擬兩種APT場景來評估TerminAPTor，并證明APT檢測器需要通過過濾誤報(bào)來改進(jìn)。在ADDINEN.CITE<EndNote><Cite><Author>Wang</Author><Year>2016</Year><RecNum>30</RecNum><DisplayText><styleface="superscript">[8]</style></DisplayText><record><rec-number>30</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620186045">30</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Wang,Xu</author><author>Zheng,Kangfeng</author><author>Niu,Xinxin</author><author>Wu,Bin</author><author>Wu,Chunhua</author></authors></contributors><titles><title>Detectionofcommandandcontrolinadvancedpersistentthreatbasedonindependentaccess</title><secondary-title>2016IEEEInternationalConferenceonCommunications(ICC)</secondary-title></titles><pages>1-6</pages><dates><year>2016</year></dates><publisher>IEEE</publisher><isbn>1479966649</isbn><urls></urls></record></Cite></EndNote>[8]中介紹了一種基于C&C域名檢測的APT檢測系統(tǒng)。該文分析了C&C通信，提出了C&C域名的訪問是獨(dú)立的，而合法域名的訪問是相關(guān)的新特性。盡管該檢測系統(tǒng)在公共數(shù)據(jù)集上驗(yàn)證時取得了顯著的結(jié)果，但作者提到，當(dāng)受感染的主機(jī)在用戶上網(wǎng)時連接到C&C服務(wù)器時，可以很容易地逃避檢測。文獻(xiàn)ADDINEN.CITE<EndNote><Cite><Author>Sexton</Author><Year>2015</Year><RecNum>31</RecNum><DisplayText><styleface="superscript">[9]</style></DisplayText><record><rec-number>31</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620186216">31</key></foreign-keys><ref-typename="JournalArticle">17</ref-type><contributors><authors><author>Sexton,Joseph</author><author>Storlie,Curtis</author><author>Neil,Joshua</author></authors></contributors><titles><title>Attackchaindetection</title><secondary-title>StatisticalAnalysisandDataMining:TheASADataScienceJournal</secondary-title></titles><periodical><full-title>StatisticalAnalysisandDataMining:TheASADataScienceJournal</full-title></periodical><pages>353-363</pages><volume>8</volume><number>5-6</number><dates><year>2015</year></dates><isbn>1932-1864</isbn><urls></urls></record></Cite></EndNote>[9]提出了一個類似于TerminAPTor檢測器的統(tǒng)計(jì)APT檢測器。該系統(tǒng)認(rèn)為APT經(jīng)歷傳播、滲透、安裝、C&C和行動五個狀態(tài)；每個狀態(tài)都會采取一些行動。每種狀態(tài)下生成的事件以統(tǒng)計(jì)方式關(guān)聯(lián)。這個系統(tǒng)需要大量的專家知識來建立和維護(hù)。以上研究都是在不加密的網(wǎng)絡(luò)環(huán)境中進(jìn)行檢測，在當(dāng)前加密流量成為主流流量的網(wǎng)絡(luò)環(huán)境中，報(bào)文內(nèi)容、網(wǎng)絡(luò)流特征等都發(fā)生了很大變化，對非加密網(wǎng)絡(luò)進(jìn)行APT檢測的方案已不太適用于當(dāng)前網(wǎng)絡(luò)環(huán)境。惡意加密流量檢測研究現(xiàn)狀傳統(tǒng)的入侵檢測技術(shù)通過解密網(wǎng)絡(luò)數(shù)據(jù)包來進(jìn)行特征匹配以識別惡意加密流量，這種傳統(tǒng)威脅檢測方法效率低，且直接違背了TLS對用戶數(shù)據(jù)保密的目的。因此，業(yè)界開始嘗試使用機(jī)器學(xué)習(xí)算法準(zhǔn)確定位加密流量中的惡意模式，從而有助于識別威脅并提高事件響應(yīng)水平。對于用機(jī)器學(xué)習(xí)方法來對加密流量進(jìn)行分類，最重要的是找到高度不同的特征，以訓(xùn)練高準(zhǔn)確度的檢測模型。2016年，Cisco的團(tuán)隊(duì)通過分析Netflow和TLS握手元數(shù)據(jù)來發(fā)現(xiàn)惡意流量和正常流量間的差異ADDINEN.CITE<EndNote><Cite><Author>Anderson</Author><Year>2016</Year><RecNum>13</RecNum><DisplayText><styleface="superscript">[4]</style></DisplayText><record><rec-number>13</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620013283">13</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Anderson,Blake</author><author>McGrew,David</author></authors></contributors><titles><title>Identifyingencryptedmalwaretrafficwithcontextualflowdata</title><secondary-title>Proceedingsofthe2016ACMworkshoponartificialintelligenceandsecurity</secondary-title></titles><pages>35-46</pages><dates><year>2016</year></dates><urls></urls></record></Cite></EndNote>[4]。他們在沒有解密數(shù)據(jù)的情況下嘗試對惡意軟件家族進(jìn)行分類，分析過程中使用了四種不同的特征集：流元數(shù)據(jù)、包長度和時間的序列、字節(jié)分布和TLS包頭信息。研究人員使用L1邏輯回歸分類器模型在這些數(shù)據(jù)的各種組合上訓(xùn)練，分類率可達(dá)98.5%-99.6%，但值得注意的是，在該研究中邏輯回歸分類器僅用良性流量進(jìn)行訓(xùn)練，只使用惡意流量進(jìn)行測試。因此，該研究沒有將假正率計(jì)入總體分類率。許多研究表明，特征并不是越多越好，需要選擇合適的特征作為訓(xùn)練模型ADDINEN.CITE<EndNote><Cite><Author>Bekerman</Author><Year>2015</Year><RecNum>16</RecNum><DisplayText><styleface="superscript">[10,11]</style></DisplayText><record><rec-number>16</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620115678">16</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Bekerman,Dmitri</author><author>Shapira,Bracha</author><author>Rokach,Lior</author><author>Bar,Ariel</author></authors></contributors><titles><title>Unknownmalwaredetectionusingnetworktrafficclassification</title><secondary-title>2015IEEEConferenceonCommunicationsandNetworkSecurity(CNS)</secondary-title></titles><pages>134-142</pages><dates><year>2015</year></dates><publisher>IEEE</publisher><isbn>1467378763</isbn><urls></urls></record></Cite><Cite><Author>Jiménez</Author><Year>2018</Year><RecNum>17</RecNum><record><rec-number>17</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620115791">17</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Jiménez,JarilynMHernández</author><author>Goseva-Popstojanova,Katerina</author></authors></contributors><titles><title>Theeffectonnetworkflows-basedfeaturesandtrainingsetsizeonmalwaredetection</title><secondary-title>2018IEEE17thInternationalSymposiumonNetworkComputingandApplications(NCA)</secondary-title></titles><pages>1-9</pages><dates><year>2018</year></dates><publisher>IEEE</publisher><isbn>1538676591</isbn><urls></urls></record></Cite></EndNote>[10,11]。許多研究旨在設(shè)計(jì)特征選擇方法來提高檢測效率ADDINEN.CITE<EndNote><Cite><Author>Shen</Author><Year>2017</Year><RecNum>18</RecNum><DisplayText><styleface="superscript">[12,13]</style></DisplayText><record><rec-number>18</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620116303">18</key></foreign-keys><ref-typename="JournalArticle">17</ref-type><contributors><authors><author>Shen,J.</author><author>Xia,J.</author><author>Zhang,X.</author><author>Jia,W.</author></authors></contributors><titles><title>SlidingBlock-BasedHybridFeatureSubsetSelectioninNetworkTraffic</title><secondary-title>IEEEAccess</secondary-title></titles><periodical><full-title>IEEEAccess</full-title></periodical><pages>18179-18186</pages><volume>5</volume><dates><year>2017</year></dates><urls></urls></record></Cite><Cite><Author>Iglesias</Author><Year>2015</Year><RecNum>19</RecNum><record><rec-number>19</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620116437">19</key></foreign-keys><ref-typename="JournalArticle">17</ref-type><contributors><authors><author>Iglesias,Félix</author><author>Zseby,Tanja</author></authors></contributors><titles><title>Analysisofnetworktrafficfeaturesforanomalydetection</title><secondary-title>MachineLearning</secondary-title></titles><periodical><full-title>MachineLearning</full-title></periodical><pages>59-84</pages><volume>101</volume><number>1</number><dates><year>2015</year></dates><isbn>1573-0565</isbn><urls></urls></record></Cite></EndNote>[12,13]。Shafiq等人ADDINEN.CITE<EndNote><Cite><Author>Shafiq</Author><Year>2018</Year><RecNum>20</RecNum><DisplayText><styleface="superscript">[14]</style></DisplayText><record><rec-number>20</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620116680">20</key></foreign-keys><ref-typename="JournalArticle">17</ref-type><contributors><authors><author>Shafiq,Muhammad</author><author>Yu,Xiangzhan</author><author>Bashir,AliKashif</author><author>Chaudhry,HassanNazeer</author><author>Wang,Dawei</author></authors></contributors><titles><title>Amachinelearningapproachforfeatureselectiontrafficclassificationusingsecurityanalysis</title><secondary-title>TheJournalofSupercomputing</secondary-title></titles><periodical><full-title>TheJournalofSupercomputing</full-title></periodical><pages>4867-4892</pages><volume>74</volume><number>10</number><dates><year>2018</year></dates><isbn>1573-0484</isbn><urls></urls></record></Cite></EndNote>[14]采用加權(quán)互信息度量和ROC曲線下面積的特征選擇方法，提高了監(jiān)督學(xué)習(xí)在分類不平衡數(shù)據(jù)集時的性能。Lastline安全公司的一個項(xiàng)目關(guān)注用TLS元數(shù)據(jù)對TLS流進(jìn)行分類ADDINEN.CITE<EndNote><Cite><Author>Roques</Author><Year>2019</Year><RecNum>8</RecNum><DisplayText><styleface="superscript">[15]</style></DisplayText><record><rec-number>8</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1619869851">8</key></foreign-keys><ref-typename="Thesis">32</ref-type><contributors><authors><author>Roques,Olivier</author></authors></contributors><titles><title>DetectingMalwareinTLSTraffic</title></titles><dates><year>2019</year></dates><publisher>ImperialCollegeLondon</publisher><urls></urls></record></Cite></EndNote>[15]。這項(xiàng)研究表明了惡意TLS流和正常TLS流在元數(shù)據(jù)上存在顯著差異，是具有很強(qiáng)分辨力的高效特征集。關(guān)于機(jī)器學(xué)習(xí)算法如何選擇的問題，已有研究表明隨機(jī)森林算法在辨別惡意流量方面表現(xiàn)最好。2017年，Cisco團(tuán)隊(duì)提出不準(zhǔn)確的基本事實(shí)和高度不固定的數(shù)據(jù)分布使得機(jī)器學(xué)習(xí)算法在惡意網(wǎng)絡(luò)流量監(jiān)測中結(jié)果不理想ADDINEN.CITE<EndNote><Cite><Author>Anderson</Author><Year>2017</Year><RecNum>12</RecNum><DisplayText><styleface="superscript">[3]</style></DisplayText><record><rec-number>12</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1619964716">12</key></foreign-keys><ref-typename="ConferenceProceedings">10</ref-type><contributors><authors><author>Anderson,Blake</author><author>McGrew,David</author></authors></contributors><titles><title>Machinelearningforencryptedmalwaretrafficclassification:accountingfornoisylabelsandnon-stationarity</title><secondary-title>Proceedingsofthe23rdACMSIGKDDInternationalConferenceonknowledgediscoveryanddatamining</secondary-title></titles><pages>1723-1732</pages><dates><year>2017</year></dates><urls></urls></record></Cite></EndNote>[3]。他們通過比較發(fā)現(xiàn)，隨機(jī)森林算法在這種帶有噪聲標(biāo)簽和數(shù)據(jù)分布不平穩(wěn)的背景設(shè)定下檢測效果最好。相關(guān)技術(shù)TLS協(xié)議TLS協(xié)議是一種加密協(xié)議，其目標(biāo)是“為兩個應(yīng)用程序之間的通信提供隱私和數(shù)據(jù)完整性”。第一個版本的TLS于1999年1月發(fā)布，以取代現(xiàn)在已棄用的SSL協(xié)議。到2021年5月為止，使用最廣泛的TLS版本是2008年8月發(fā)布的TLSv1.2。TLS協(xié)議位于應(yīng)用層之下，在傳輸層（主要是TCP協(xié)議）之上。TLS目前的主要用途是加密HTTP通信，從而形成HTTPS協(xié)議。然而，TLS的使用并不僅限于HTTP：任何應(yīng)用層協(xié)議理論上都可以使用TLS。例如，SMTP協(xié)議和TLS協(xié)議共同構(gòu)成了SMTPS協(xié)議用于保護(hù)電子郵件。TLS的新版本，TLSv1.3，已于2018年8月發(fā)布。與TLSv1.2相比，它做出了很大的改變，且在性能上有了很大的提升。瀏覽器和網(wǎng)絡(luò)服務(wù)器正在慢慢地接受這個新版本。主流瀏覽器，如Chrome，F(xiàn)irefox或Opera，已經(jīng)支持這個版本的TLS協(xié)議。（1）TLSv1.2TLSv1.2是當(dāng)前最常用的TLS版本：95%的服務(wù)器支持這個協(xié)議ADDINEN.CITE<EndNote><Cite><RecNum>15</RecNum><DisplayText><styleface="superscript">[16]</style></DisplayText><record><rec-number>15</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620047911">15</key></foreign-keys><ref-typename="WebPage">12</ref-type><contributors></contributors><titles><title>ListofTCPandUDPportnumbers</title></titles><dates></dates><urls><related-urls><url>/wiki/List_of_TCP_and_UDP_port_numbers</url></related-urls></urls><custom2>2021-5-3</custom2></record></Cite></EndNote>[16]。它繼承了TLSv1.1，其主要目的是為不安全的加密組件（MD5和SHA1算法）提供新的替代方案。一個TLSv1.2會話是在客戶機(jī)和服務(wù)器之間的兩次消息往返中建立的（見圖2-1）：圖2-1TLSv1.2握手協(xié)議1.客戶端發(fā)送一個ClientHello消息。該消息包括：客戶端支持的加密組件列表；壓縮方法列表；一個擴(kuò)展列表，客戶端使用它向服務(wù)器傳遞附加信息（例如，指定目標(biāo)主機(jī)名、客戶端支持的橢圓曲線等）。2.服務(wù)器回復(fù)以下幾個信息：ServerHello：包含服務(wù)器選擇的加密組件和壓縮方法。Certificate：包含證明公鑰所有權(quán)的TLS證書鏈。ServerKeyExchange：包含允許客戶端通信的預(yù)主密鑰的信息（可選，當(dāng)服務(wù)器沒有證書或其公鑰僅用于簽名消息時有用）。ServerHelloDone：通知客戶端在握手的第一階段中服務(wù)器發(fā)送消息已完成。3.客戶端回復(fù)以下幾個信息：ClientKeyExchange：包含允許服務(wù)器計(jì)算最終對稱會話密鑰的信息（在大多數(shù)情況下使用服務(wù)器的公鑰加密會話密鑰）。ChangeCipherSpec：通知服務(wù)器將使用會話密鑰對所有后續(xù)消息進(jìn)行加密。Finished：通知服務(wù)器客戶端TLS握手成功。4.最后，服務(wù)器以以下消息結(jié)束協(xié)商:ChangeCipherSpec：通知客戶機(jī)所有后續(xù)消息都將使用會話密鑰進(jìn)行加密。Finished：通知客戶端服務(wù)器TLS握手成功。（2）TLSv1.3TLSv1.3握手協(xié)議較TLSv1.2的協(xié)商流程更為精簡、有效、安全。TLSv1.3優(yōu)先考慮速度和安全性，它刪除了過時的密碼和散列算法（如SHA1、MD5和DES），并將握手減少到只有三條消息。TLS服務(wù)器證書服務(wù)器證書是將公鑰綁定到服務(wù)器的電子文檔，由被稱為證書頒發(fā)機(jī)構(gòu)的實(shí)體進(jìn)行數(shù)字簽名。在TLS握手期間接收服務(wù)器證書的客戶端必須驗(yàn)證它的有效性，即驗(yàn)證證書是否已由受信任的權(quán)威機(jī)構(gòu)簽名。如果證書已經(jīng)由一個未知的組織簽名，客戶端必須沿著證書鏈向上走，直到找到一個來自受信任的權(quán)威機(jī)構(gòu)的證書，該機(jī)構(gòu)能夠驗(yàn)證證書鏈中它的子節(jié)點(diǎn)的所有證書。當(dāng)最終驗(yàn)證了服務(wù)器的合法性后，可以通過服務(wù)器的公鑰加密和共享對稱會話密鑰。TLS證書一般遵循X.509標(biāo)準(zhǔn)。它們包含幾個字段，其中一些是可選的。最值得注意的是：Issuer：驗(yàn)證服務(wù)器合法性并頒發(fā)證書的實(shí)體，通常是證書頒發(fā)機(jī)構(gòu)Validity：包含兩個子字段，包含證書有效日期和到期日期。Subject：證書的持有者。SubjectPublicKeyInfo：包含兩個子字段，表示服務(wù)器公鑰算法和公鑰本身。Extensions：包含幾個字段，說明應(yīng)該如何使用該證書，以及關(guān)于該證書的其他信息。CertificateSignatureAlgorithm和CertificateSignatureValue：簽名算法和來自證書主體頒發(fā)者的簽名。Fingerprint：證書的哈希值，通常使用SHA256或SHA1算法。然而，并不是所有的證書都具有相同的驗(yàn)證級別，驗(yàn)證級別可以分為以下四個類別：自簽名（Self-Signed，SS）：這是最低級別的驗(yàn)證，因?yàn)樗馕吨C書已由證書接收者本身備份。通常，證書頒發(fā)機(jī)構(gòu)使用自簽名證書共享它們的公鑰，并且將瀏覽器配置為信任這些特定的證書（稱為根證書）。對于CA以外的實(shí)體提供的自簽名證書，這些證書根本不提供密鑰所有權(quán)的證明，瀏覽器通常會對它們顯示警告。域名驗(yàn)證（DomainValidation，DV）：CA只檢查了公鑰和域名之間的連接，沒有進(jìn)一步的身份檢查。組織驗(yàn)證（OrganizationValidation，OV）：在頒發(fā)證書之前，CA已經(jīng)檢查了域名和組織的一些信息。擴(kuò)展驗(yàn)證（ExtendedValidation，EV）：安全性“最強(qiáng)”證書，CA除驗(yàn)證域名外，還對該組織進(jìn)行了徹底的調(diào)查。傳統(tǒng)的TLS檢測在企業(yè)環(huán)境中，解密平臺是處理TLS流量的最常用方法。它由一個設(shè)備組成，通常設(shè)在網(wǎng)關(guān)處，該設(shè)備攔截加密的通信流，動態(tài)解密它，并通過各種技術(shù)檢查包內(nèi)容，確認(rèn)包沒問題后再進(jìn)行轉(zhuǎn)發(fā)。然而，這種技術(shù)存在幾個顯著的缺點(diǎn)：1）由于不斷對數(shù)據(jù)包進(jìn)行攔截和解密，這種技術(shù)導(dǎo)致網(wǎng)絡(luò)性能大幅下降。根據(jù)Phnemon機(jī)構(gòu)的報(bào)告ADDINEN.CITE<EndNote><Cite><Author>Institute</Author><Year>2016</Year><RecNum>37</RecNum><DisplayText><styleface="superscript">[17]</style></DisplayText><record><rec-number>37</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620565607">37</key></foreign-keys><ref-typename="Report">27</ref-type><contributors><authors><author>PonemonInstitute</author></authors></contributors><titles><title>HiddenThreatsinEncryptedTraffic</title></titles><dates><year>2016</year></dates><urls><related-urls><url>/research/ponemon-library/security/hidden-threats-in-encrypted-traffic-a-study-of-north-america-emea.html</url></related-urls></urls></record></Cite></EndNote>[17]顯示，這種技術(shù)使得通信平均性能下降了92%，延遲增加了672%，有61%的公司稱這是他們放棄檢查平臺的主要原因之一。2）它可能不符合當(dāng)今一些國家的隱私標(biāo)準(zhǔn)，甚至可能侵犯員工的權(quán)利。員工的銀行憑證和電子郵件等敏感信息必須特別小心，以避免其內(nèi)容以明文形式暴露，這又增加了一層復(fù)雜性。3）平臺必須追蹤解密數(shù)據(jù)包所需的所有TLS證書和密鑰，這再次增加了這樣一個系統(tǒng)的整體復(fù)雜性。即使這種技術(shù)允許公司仍能使用多種成熟的包載荷檢測技術(shù)，但管理負(fù)擔(dān)和性能上的高花銷使得這種解決方案不適用于真實(shí)環(huán)境中的檢測。證書分析通過分析web服務(wù)器發(fā)送的證書，還可以幫助檢測釣魚網(wǎng)站或異常連接。在握手期間，證書以明文形式發(fā)送，因此傳統(tǒng)的基于簽名的檢測技術(shù)可以在這里應(yīng)用。當(dāng)檢測到自簽名服務(wù)器證書或客戶端證書字段中的異常字符串時，檢測器發(fā)出預(yù)警，告知網(wǎng)絡(luò)管理人員某主機(jī)可能被感染。然而，處理證書的最簡單方法仍然是維護(hù)已知的來自惡意服務(wù)器的證書的黑名單，并根據(jù)該列表檢查所有傳入的證書。最流行的開源入侵檢測系統(tǒng)之一——Suricata就實(shí)現(xiàn)了這一黑名單。網(wǎng)上也有一些公開的證書黑名單，如SSLBL。但這種方法也有著所有基于黑名單的方法所共有的缺點(diǎn)，那就是管理負(fù)擔(dān)：黑名單必須由可信的人定期更新才能有效檢測，如果誤報(bào)太多（假正率過高），則會給用戶帶來糟糕的使用體驗(yàn)。JA3技術(shù)第2.2.1節(jié)介紹的ClientHello消息由幾個以明文發(fā)送的字段組成(見圖2-2)。這些字段的值依賴于用于初始化連接的底層TLS庫，或者為優(yōu)化由應(yīng)用程序直接設(shè)置的值。例如，瀏覽器傾向于提供更可靠、更安全的密碼套件，而移動應(yīng)用程序傾向于使用更快、更輕量級的算法。在任何情況下，這些值對于應(yīng)用程序都是唯一的，并且在會話之間保持固定。JA3ADDINEN.CITE<EndNote><Cite><Author>Salesforce</Author><Year>2017</Year><RecNum>27</RecNum><DisplayText><styleface="superscript">[18]</style></DisplayText><record><rec-number>27</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620135792">27</key></foreign-keys><ref-typename="WebPage">12</ref-type><contributors><authors><author>Salesforce</author></authors></contributors><titles><title>JA3–AmethodforprofilingSSL/TLSClients</title></titles><dates><year>2017</year></dates><urls><related-urls><url>/salesforce/ja3</url></related-urls></urls><custom2>2021-5-4</custom2></record></Cite></EndNote>[18]是Salesforce提出的一個創(chuàng)建TLS會話的指紋的項(xiàng)目。如圖2-2所示，它從ClientHello消息中提取了5個值：SSL版本、密碼套件列表、TLS擴(kuò)展長度、橢圓曲線組和橢圓曲線點(diǎn)格式。然后將值連接起來，并使用MD5算法對字符串進(jìn)行散列，以獲得最終的JA3指紋。圖2-2用于創(chuàng)建JA3指紋的字段通過檢查已知的JA3指紋數(shù)據(jù)庫（Salesforce提供了這樣的列表ADDINEN.CITE<EndNote><Cite><Author>Salesforce</Author><Year>2017</Year><RecNum>27</RecNum><DisplayText><styleface="superscript">[18]</style></DisplayText><record><rec-number>27</rec-number><foreign-keys><keyapp="EN"db-id="rr0wseffnsaffqex0v05x25wa00fsp5vvsrx"timestamp="1620135792">27</key></foreign-keys><ref-typename="WebPage">12</ref-type><contributors><authors><author>Salesforce</author></authors></contributors><titles><title>JA3–AmethodforprofilingSSL/TLSClients</title></titles><dates><year>2017</year></dates><urls><related-urls><url>/salesforce/ja3</url></related-urls></urls><custom2>2021-5-4</custom2></record></Cite></EndNote>[18]），可以使用JA3來識別發(fā)起TLS會話的應(yīng)用程序。這個特性使得JA3可以用于威脅檢測。惡意軟件在通過TLS與他們的C&C服務(wù)器通信時，經(jīng)常使用自定義參數(shù)，這導(dǎo)致了一個唯一的JA3指紋。知道了這一點(diǎn)，則可以編寫惡意軟件的JA3的黑名單ADDINEN.CITE<EndNote><Cite><Author>abuse.ch</Author><Year>2019</Year><RecNum>28</RecNu