01加密恶意流量检测

1.1 配景

有大宗的恶意剧本、勒索病毒、署理、挖矿、远控工具等接纳加密手段来逃避清静防护和检测。。。。。。通常的清静产品对无法识别、无法检测的流量会放行。。。。。。其中WebShell是攻击网站的一种恶意剧本，，，，，，，，识别出WebShell文件或通讯流量可以有用地阻止黑客进一步的攻击行为。。。。。。现在WebShell的检测要领主要分为三大类：静态检测、动态检测和日志检测。。。。。。

本文主要基于流量来实现WebShell毗连工具的检测。。。。。。现在基于流量的检测仍然面临一些问题。。。。。。现存的一些WebShell毗连工具，，，，，，，，好比冰蝎、哥斯拉、蚁剑等，，，，，，，，都使用了混淆或加密机制，，，，，，，，通过加密通讯流量的方法来绕过古板清静装备，，，，，，，，逃避检测。。。。。。

1.2 AntSword 编码要领

1.2.1 AntSword-default编码

先来看一下默认编码模式流量。。。。。。

默认状态下的流量照旧较量友好的，，，，，，，，保存许多函数可以举行特征定位，，，，，，，，在经由大宗的数据包剖析后，，，，，，，，确定了特征如下：

特征1：在1处使用正则举行匹配这处的函数名堂；；；；；；；；

特征2：在2处关于函数先后顺序举行匹配。。。。。。

1.2.2 AntSword-base64编码

Base64：是一种基于64个可打印字符来体现二进制数据的体现要领。。。。。。

下面先来看一下数据包：

Base64编码下从数据包中可以发明使用了eval，，，，，，，，base64_decode等敏感函数，，，，，，，，在经由大宗的数据包剖析后，，，，，，，，定位特征如下：

特征1：在1处使用正则举行匹配这处的函数名堂；；；；；；；；

特征2：取2处的两个14位字符举行比照判断是否相同。。。。。。

1.2.3 AntSword-chr编码

CHR： ASCII 值返回字符。。。。。。ASCII 值可被指定为十进制值、八进制值或十六进制值。。。。。。八进制值被界说为带前置 0，，，，，，，，十六进制值被界说为带前置 0x。。。。。。

下面先来看一下数据包：

Chr编码下从数据包中可以发明保存巨细写混杂的eVAl函数，，，，，，，，同时需要配合匹配编码的名堂与长度团结举行检测。。。。。。

特征1：使用正则匹配1处，，，，，，，，eVal函数括号中cHr(*).ChR(*),对ChR(*)数目界说阈值配合检测。。。。。。

1.2.4 AntSword-chr16编码

CHR16： ASCII 值返回字符。。。。。。ASCII 值可被指定为十进制值、八进制值或十六进制值。。。。。。八进制值被界说为带前置 0，，，，，，，，十六进制值被界说为带前置 0x。。。。。。

下面先来看一下数据包：

Chr16编码下从数据包中可以发明也保存巨细写混杂的eVAl函数，，，，，，，，与Chr编码类似，，，，，，，，也需要配合匹配编码的名堂与长度团结举行检测。。。。。。

特征1：使用正则匹配1处，，，，，，，，eVal函数括号中cHr(0x*).ChR(0x*),对ChR(0x*)数目界说阈值配合检测。。。。。。

1.2.5 AntSword-rot13编码

ROT13：编码是把每一个字母在字母表中向前移动 13 个字母获得。。。。。。数字和非字母字符坚持稳固。。。。。。

下面先来看一下数据包：

ROT13编码下从数据包中可以发明保存eval,str_rot13等敏感函数名称，，，，，，，，在经由大宗数据包剖析后，，，，，，，，确定了特征如下：

特征1：在1处使用正则举行匹配这处的函数名堂；；；；；；；；

特征2：取2处的14位字符举行比照，，，，，，，，判断是否相同。。。。。。

02总结

在实战测试中，，，，，，，，通过上述几点，，，，，，，，对加密型 webshell 的流量举行剖析，，，，，，，，总结相关弱特征和强特征，，，，，，，，多种特征团结，，，，，，，，可以准确识别这类 webshell 的通讯历程，，，，，，，，实时处置惩罚和发明失陷主机。。。。。。但上述基于字符串特征检测的计划，，，，，，，，需要清静运营职员逐一剖析样本，，，，，，，，会消耗较大的人力，，，，，，，，并且难以检测变种的恶意外连流量。。。。。。

随着攻防手艺之间的一直博弈，，，，，，，，恶意软件也越来越隐匿。。。。。。现在使用加密通讯的恶意软件家族凌驾200种，，，，，，，，使用加密通讯的恶意软件占比凌驾40%，，，，，，，，使用加密通讯的恶意软件险些笼罩了所有常见类型。。。。。。后续我们可能遇到的场景更多是HTTPS，，，，，，，，AES，，，，，，，，XOR等加密类型。。。。。。关于这种加密类型，，，，，，，，更好的解决计划是使用机械学习或者深度学习对流量特征举行识别。。。。。。

随着人工智能手艺的生长，，，，，，，，通过大宗的测试验证，，，，，，，，人工智能用于加密流量清静检测将是一种新手艺手段。。。。。。作为清静运营职员，，，，，，，，唯有一直探索和研究新的特征和要领，，，，，，，，才华更好的应对网络流量中日益重大的攻击。。。。。。

声明：

1．本文档由3377体育网官网入口清静团队宣布，，，，，，，，未经授权榨取第三方转载及转投。。。。。。

2．本文档所提到的手艺内容及资讯仅供参考，，，，，，，，有关内容可能会随时更新，，，，，，，，3377体育网官网入口不另行通知。。。。。。

3．本文档中提到的信息为正常果真的信息，，，，，，，，若因本文档或其所提到的任何信息引起了他人直接或间接的资料流失、利益损失，，，，，，，，3377体育网官网入口及其员工不肩负任何责任。。。。。。