观成科技刘晨曦：攻防对抗下加密流量检测的实战之道

随着HTTPS等加密技术的普及和广泛应用，网络中的加密流量呈现爆炸式增长，这既保护了用户数据的安全和隐私，同时也为攻击者提供了隐藏恶意、非法和窃密行为的新途径。加密流量成为攻击者的隐蔽通道，不法分子利用加密隧道传输恶意软件、渗透内网、窃取数据，规避传统安全设备的检测。一些APT攻击、供应链攻击等隐蔽性很强的威胁更是频繁利用加密流量。面对不断演进的加密流量威胁,企业亟需寻找行之有效的应对之策。

本期《牛人访谈》邀请到观成科技副总经理刘晨曦，围绕当前加密流量威胁态势、应用场景、面临的困难以及解决方案等话题,展开了深入讨论，以期为企业构建科学的加密流量检测体系提供参考和启示。

刘晨曦 观成科技副总经理

具备超过20年的安全及IT领域从业经验，熟悉政企数字化转型场景及实践，对网络安全各新兴领域有一定的理解。长期服务于运营商、国央企、军工等客户的IT和网络安全项目建设。他于2001年加入华为，任职预研、开发、售前、Marketing、解决方案架构师等相关岗位，于2021年加入观成科技。

01

安全牛

加密流量已成为网络攻击的重要载体。请您分析一下当前我国企业组织所面临的加密流量威胁态势情况如何？

刘晨曦

当前加密流量威胁态势呈现出复杂且多变的特点。

网络安全伴随攻防双方的博弈而诞生和发展。从这个角度来看，密码应用是一把双刃剑。它在大量用户保护其核心信息的安全存储和传输的同时，也受到攻击者的青睐。攻击者利用加密协议的特性,将恶意软件、攻击指令等隐藏在加密数据中,规避传统安全设备的检测。这就如同攻击者披上了一件“隐身衣”,在网络中肆意横行。有统计显示，85.9%的网络攻击是通过加密通道发起的。

同时，“密码法”、“等保2.0”、“关键信息基础设施安全保护条例”、GB/T39786-2021“信息系统密码应用基本要求”等国家监管政策都对网络加密提出了明确要求。加密流量检测也成为了合规的必要条件。

与此形成鲜明对比的是，传统安全设备难以有效识别加密流量威胁。防火墙、IPS等在检查加密流量方面存在明显的安全盲区。很多企业尚未部署专门的加密流量安全方案，缺乏可见性和威胁检测能力，甚至在制定安全策略时也没有区分流量是否加密。

值得庆幸的是，随着威胁的演变升级、攻防演练对抗加剧，越来越多的政府、金融、能源、企业等行业客户开始关注加密流量检测相关的技术，也在积极调研并开始应用相关的产品和解决方案。

02

安全牛

当前我国加密流量检测应用场景主要有哪些？

刘晨曦

当前在我国加密流量检测解决方案的热点应用场景主要集中在以下几个方面：

一是金融等重要行业的安全运营保障。通过梳理和监测加密业务中的风险，识别威胁，实现加密流量的可视化、可管理和可控性；

二是攻防对抗演练。加密流量在攻防对抗中的使用频率越来越高，特别是在资产失陷后的命令与控制（C&C）加密通信检测方面，成为企业安全运营的重要防线；

三是恶意软件检测。面对日益复杂的网络安全挑战，加密流量中潜藏的恶意软件威胁变得更加隐蔽。通过智能检测与分析技术，可以迅速识别潜在的安全风险，提高检测效率；

四是合规性和审计。通过对加密流量的深入挖掘可以帮助组织和用户确保遵循相关的法律法规和安全标准要求如GB/T39786-2021“信息系统密码应用基本要求等规范条例。

03

安全牛

企业在开展加密流量检测主要面临的困难和难点是什么？

刘晨曦

加密流量检测是一个非常复杂的过程。受到技术和法律法规上的限制。

加密流量的实时监控要求企业具备高性能计算能力，以快速处理和分析大量数据流。传统的加密流量检测方法通常需要先解密流量，这一过程不仅技术上复杂，而且消耗大量计算资源，可能导致网络吞吐量下降和延迟增加。解密操作还可能引发隐私泄露风险，因为解密后的数据可能以日志或临时存储文件的形式被泄露，从而增加了设备受攻击的可能性。

企业在处理加密流量时必须遵循相关的隐私保护法律法规，这可能限制企业对用户数据的访问和处理，进一步增加了加密流量检测的难度。特别是在某些行业，如金融、医疗等，加密流量检测还可能违反特定的数据安全法规。

此外，检测能力不足也是个问题。加密流量检测技术的核心难点在于无法对传输载荷的内容进行审计，这就给基于传统的特征库、规则匹配、固定基线、威胁情报的传统流量检测体系带来较大的挑战，让企业的安全防御和运营工作变得更加困难。

当前，对加密流量的威胁情报收集、分析和共享还很欠缺也是个难点。这导致企业难以第一时间感知和响应加密流量的未知威胁。行业亟需构建威胁情报的共享机制。

04

安全牛

那么，企业应该如何做好加密流量威胁检测？

刘晨曦

要想解决安全威胁的问题，不能说仅仅是看到“黑（流量）”，然后去解决“黑（流量）”，而是要追根溯源。企业需采取系统的方法论来应对加密流量检测的挑战，才能找到有效应对加密流量威胁的解决之道。

我认为企业首先要在意识上提高对加密流量安全的重视，要认识到强化加密流量威胁检测的必要性和紧迫性，它与企业的整个网络韧性和业务持续性息息相关。

然后，要摸清网络中的业务加密现状，做到心中有数。无论是通用的互联网加密业务、行业专用的加密业务，还是企业自有的私有加密业务，要对企业的整个加密业务生态进行一次全面的梳理。

接下来，要全面调研国内加密流量检测的技术及产品，在此基础上采用先进的威胁检测技术，结合自身的防护需求和资源现状，制定针对性的防护策略，选择最适合自身的解决方案。

05

安全牛

目前我国在加密流量检测技术方面的发展状况如何？主要呈现哪些特点？存在哪些不足？

刘晨曦

近年来，随着互联网技术的快速发展，尤其是新型加密协议如TLS 1.3和QUIC的普及，加密流量检测技术得到了显著提升。研究者们利用深度学习和机器学习技术，自动提取加密流量特征，构造深度指纹，从而提高检测的准确性。

国内企业已经推出了多款较为成熟的加密流量检测产品和解决方案。这些产品各具特色，主要利用人工智能、机器学习、密码学等先进技术，涵盖了从基础的流量特征提取到复杂的机器学习和AI分析，为不同应用场景提供了全面的解决方案。

但是与此同时，我国加密流量检测解决方案普遍仍存在特征信息不足、隐私保护不足、对抗样本攻击和未知攻击难以检测等问题，需要进行进一步的研究和改进。

值得一提的是，近年来人工智能技术发展给加密流量检测带来了一些新的思路和方法，这也给了观成科技一个技术发展契机。相较传统安全厂商，观成科技以密码分析、机器学习、安全分析、流量检测等多种技术和视角相融合，打造全新的针对加密业务的安全产品体系，为政企客户提供新型流量安全解决方案。

比如，观成科技的加密流量安全检测引擎在实际网络测试中，检出率可达到99.95%，误报率控制在5%以下。

06

安全牛

观成科技在用户端的表现如何？在帮助企业用户构建加密流量安全检测防御体系方面积累了哪些实践经验？

刘晨曦

观成科技作为一家以加密流量检测技术为核心的创新型网络安全公司，始终专注于加密流量检测技术的研发与应用。观成科技将技术创新作为企业发展的核心驱动力，不断投入研发资源，提升技术水平，推出了多款具有自主知识产权的网络安全产品。

公司凭借其独特的技术优势和丰富的行业经验，构建了完整的加密网络空间安全解决方案，形成了由观成瞰云（ENS）-加密威胁智能检测系统、观成瞰雾（ETI）-加密威胁情报平台、观成瞰峰（ESA）-加密业务态势感知平台等组成的产品矩阵。

这些解决方案的应用已经广泛覆盖军工、能源、政企、金融、运营商等行业。此外，观成科技已连续多次参与数十家行业客户的实战攻防演练。

在服务这些客户的过程中，观成科技确实积累了一些经验或者心得。在这里我简单提5点：

一是采用基于多模型集成学习的加密流量检测技术以应对现网复杂的网络环境，提高检测的准确性；

二是针对目前基于预先训练模型的机器学习技术检测恶意流量在实际应用中存在误报率偏高的现象，引入基于增量学习的自适应学习技术；

三是以基于恶意交互行为特征的加密流量检测技术解决隐匿攻击的新问题。近几年大量攻击者采用CDN、域前置、云函数等方法隐匿恶意特征，我们从恶意行为本质出发，精准识别恶意软件的交互行为及业务逻辑，弥补基于IOC的检测技术的不足；

四是通过精细化梳理加密业务来以解决安全运营的新问题。安全运营的核心在于从业务的视角出发，对各安全要素进行综合监管和全面治理，相当于对加密业务进行全面“人口普查”。一旦普查清楚，可以基于加密业务视角进行风险、异常以及威胁的监测识别；

五是通过持续监测感知加密流量存在的新风险。具体来说，流量加密后，会出现新的风险脆弱项。比如加密协议层面、加密证书层面以及密码安全合规的问题。

07

安全牛

您认为加密流量检测领域的未来发展趋势和创新方向是什么？

刘晨曦

“对抗升级，安全升维”，随着攻防对抗越来越激烈，安全防御呈现两个层面的升维：底层是网络安全层面对抗到密码安全层面对抗的升维；上层是已知先验威胁到未知先验威胁的升维。底层升维已经被越来越多的产学研单位认知到，加密流量检测技术和系统成熟度高、产学研活跃、产品落地情况良好。上层升维代表着安全防御工作将进入深水区，而加密流量检测领域是集成网络安全、密码科学、人工智能的跨界领域，可以利用不断发展的人工智能和网络安全新技术，面向动态网络中的未知先验威胁，尝试去定义及研究安全威胁的根本性问题。具体的趋势和方向有下面几点：

基于机器学习和人工智能的检测技术仍然是最重要的趋势之一。将AI技术应用到加密流量分析领域，利用机器学习算法分析加密流量的行为特征，自动发现异常和威胁，并通过持续学习提高检测的准确性和效率。这也是我们观成科技的优势所在。

同时，还要关注将威胁情报与大数据分析相结合起来。汇聚全球范围内的威胁情报，并将其与企业内部的加密流量大数据进行关联分析，及时发现潜在的安全风险。这要求我们不断更新和完善威胁情报库，提高情报的时效性和覆盖面。

此外，还要关注自适应解密与选择性解密。根据不同的应用场景和安全策略，动态调整解密的粒度和范围：对于高风险、高价值的加密流量进行重点解密检测；而对于可信的加密流量则直接放行,在安全和性能间实现自适应平衡。针对这一趋势，观成科技一直在优化自己的自适应模型，并引入基于增量学习的自适应学习技术。

我觉得还有一个趋势也是特别需要关注的，那就是加密流量检测正从被动的检测防御转向主动的威胁狩猎，通过部署蜜罐、诱饵等手段,主动发现和捕获利用加密流量的威胁行为，并溯源攻击源，实现对攻击者的反制。

与此同时，加密流量检测市场将进一步细分，不同类型的检测技术（如基于负载随机性、有效负载分类等）将被广泛应用。同时，市场参与者将更加注重专业化和定制化服务，以满足不同客户的需求。

接下来，观成科技将持续对新的检测技术和黑客工具进行跟踪分析与研究，保持对最新威胁的警觉性，并不断改进和优化人工智能检测模型，以适应不断变化的威胁环境，更好地守护加密网络空间安全。