集成學(xué)習(xí)：利用集成學(xué)習(xí)技術(shù)，實(shí)現(xiàn)不同類型特征向量和人工智能學(xué)習(xí)算法之間的互補(bǔ)特性，提供智能檢測模型的泛化能力；

強(qiáng)化學(xué)習(xí)：利用強(qiáng)化學(xué)習(xí)技術(shù)，不斷生成智能檢測模型免殺樣本，進(jìn)而不斷訓(xùn)練實(shí)現(xiàn)一定程度的自主學(xué)習(xí)。

惡意加密流量檢測案例

檢測結(jié)果總覽

源主機(jī)與目的服務(wù)器發(fā)現(xiàn)惡意加密流量。

如下圖所示，源終端主機(jī)在晚8點(diǎn)至次日早8點(diǎn)(非工作時間)，頻繁訪問上述域名。

取證查詢的域名

經(jīng)取證，syndication.exosrv.com為瀏覽器被劫持后訪問的目的地址，也可能是惡意軟件通信地址。

SSL訪問詳情

正?？尚抛C書的機(jī)構(gòu)簽名信息

syndication.exosrv.com的證書簽名信息，顯然“頒發(fā)者”是隨意定義的。

同時，客戶端有太多的未知擴(kuò)展

unknown-35466,renegotiation_info,server_name,extended_master_secret,SessionTicket TLS,signature_algorithms,status_request,signed_certificate_timestamp,application_layer_protocol_negotiation,channel_id_new,ec_point_formats,supported_groups,unknown-2570,padding

TCP訪問詳情

從圖中可知，大部分情況下，源主機(jī)對外發(fā)送的包的數(shù)量和字節(jié)數(shù)，遠(yuǎn)大于回包數(shù)量和字節(jié)數(shù)；這與常見HTTPS的Web訪問情況相反(下行流量遠(yuǎn)大于上行流量)，說明源主機(jī)可能在對外傳數(shù)據(jù)。

知名調(diào)研機(jī)構(gòu)在2019年初曾預(yù)測，截至2019年超過80%的企業(yè)網(wǎng)絡(luò)流量將被加密，屆時加密的流量中將隱藏超過一半以上的惡意加密攻擊流量。事實(shí)證明，越來越多的業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)采用加密的方式保護(hù)自身安全性，并且惡意軟件和惡意代碼也在跟隨著形勢加密數(shù)據(jù)來逃避檢測，與安全設(shè)備玩“躲貓貓”。

以可持續(xù)威脅檢測與溯源系統(tǒng)（RayEye）為基礎(chǔ)的惡意加密攻擊流量檢測解決方案，可以有效地檢測和分析加密流量，發(fā)現(xiàn)諸如SSL、TLS、TOR、HTTP隱秘隧道、ICMP隱秘隧道、DNS隱秘隧道、Shadowscoks、VPN等惡意加密流量，幫助客戶提升安全檢測范圍和檢測能力，解決惡意加密流量帶來的安全威脅與問題。