MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,939 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Обсуждение новостей, связанных с интернетом и технологиями.
При поддержке
Первый пост Опции темы
Старый 07.07.2016, 19:44
#1
Заблокированный
 
Регистрация: 07.06.2016
Сообщений: 290
Благодарностей: 9
Вероятность обнаружить вредоносную активность в зашифрованном трафике превышает 90% для корпоративных сетей.
Группа исследователей из компании Cisco сумела разработать способ определения вредоносного трафика, передаваемого внутри TLS соединения. При этом исследователям не пришлось расшифровывать данные.
В представленном исследовании Блейк Андерсон (Blake Anderson), Субарти Пол (Subharthi Paul) и Дэвид МакГрю (David McGrew) объяснили, каким образом возможно обнаружить следы вредоносного трафика внутри TLS-потока.
Исследователи проанализировали тысячи образцов 18 семейств вредоносного ПО, десятки тысяч вредоносных пакетов и миллионы перехваченных зашифрованных пакетов, передаваемых в корпоративных сетях. Ученые уточняют, придуманный способ обнаружения вредоносной деятельности может применяться исключительно в корпоративных сетях и не подходит для интернет-провайдеров.
Принципы обнаружения вредоносной деятельности основываются на анализе доступных данных при перехвате сетевого трафика: clientHello и serverHello сообщений, идентификаторов, используемой версии протокола TLS, метаданных потока (количество передаваемых байт, пакетов, номера портов, длительность соединения), последовательности длины пакетов и периодичности, распределении байт внутри потока и информации из TLS-заголовка.
По словам исследователей, достаточно проанализировать поток передаваемых данных для обнаружения активности большинства существующих семейств вредоносов. Также возможно определить семейство по структуре передаваемых данных, даже при использовании одинаковых параметров TLS-соединений.
Алгоритмы, описанные исследователями, позволяют достоверно определить активность следующих семейств вредоносов: Bergat, Deshacop, Dridex, Dynamer, Kazy, Parite, Razy, Zedbot и Zusy.
Точность определения вредоносного трафика внутри зашифрованных данных достигает 90.3% для каждой семьи вредоносов при анализе одного сетевого потока, и 93.2% при анализе всех сетевых потоков в течение 5-минутного окна.

Источник:https://www.securitylab.ru/news/483052.php
kral85 вне форума
Старый 08.07.2016, 16:16
#2
Топ Мастер
 
Пол: Мужской
Регистрация: 07.02.2013
Сообщений: 6,103
Благодарностей: 6,856
Re: Исследователи разработали способ обнаружения вредоносов внутри зашифрованного тра

Каждый год каждая из противоборствующих сторон придумывает что то новое, найдут как и эту защиту обходить.
axiomist вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход