本發明涉及一種基于證書特征泛化和服務器變遷行為的SSL/TLS加密惡意服務發現方法。該方法包括1)對已知惡意服務的證書進行采集；2)提取采集的證書的屬性，根據不同服務類型對證書進行分類，從各類證書的屬性域和屬性關系中提取泛化特征；3)基于提取的泛化特征，在真實網絡環境中進行基于證書泛化特征的潛在惡意服務發現。如果步驟2)無法提取泛化特征，則通過跟蹤已知惡意服務器的證書的變遷行為來發現證書變化規律，進而發現惡意服務。本發明能夠針對SSL/TLS加密的遠程控制類惡意服務，在可控范圍內合理篩選，擴大發現的惡意服務器集合，從而為進一步深入安全分析及取證提供依據。

技術領域

本發明屬于信息安全技術領域，具體涉及一種基于證書特征泛化和服務器變遷行為的SSL/TLS加密惡意服務發現方法。

背景技術

近些年，處于數據安全和隱私考慮，以HTTPS為代表的Secure Sockets Layer/Transport Layer Security(SSL/TLS，即安全套階層協議和傳輸層安全協議)加密應用服務明顯增多。惡意服務也逐漸遷移到SSL/TLS上，利用這種公共加密方案來隱藏自身，達到躲避安全檢測的目的。目前已經發現多種惡意軟件采用SSL/TLS加密的命令與控制通道，比如Dyre和Dridex木馬(竊取銀行賬號)，Gozi(金融犯罪，盜取賬號)和TorrentLocker等勒索軟件，危害很大。

傳統的惡意服務檢測方法往往基于通信特征簽名或內容、行為異常，當惡意應用采用SSL/TLS加密且混合在海量的SSL/TLS加密網絡流中時，功能基本失效或效果急劇下降。SSL/TLS中的惡意服務發現方面，已有研究側重于利用證書相關的特征學習來進行Web欺詐類檢測，比如釣魚和近似域名，而對于木馬、僵尸網絡等以長期控制、信息竊取為目的的惡意應用服務，尚未見到顯著的系統性的研究成果。就基于證書的SSL惡意服務發現方面，相關工作有：

1)Harvesting SSL Certificate Data to Identify Web-Fraud(2009)，基于證書特征發現釣魚和近似域名的Web欺詐網站。首先通過主動測量采集合法、釣魚和近似域名等三種域名類型的證書；然后，采用了13個證書相關的特征(MD5哈希值，仿冒主題，自簽名，過期，公共證書，公共序列號，有效期大于3年，頒發者通用名、機構名、國家名，使用者國家名，序列號長度，主機與通用名距離)借助于隨機森林、支持向量機、決策樹、神經網絡等多種機器學習的方法對少量數據集進行訓練和測試，取得了約80％的釣魚域名檢測準確率和93％的近似域名檢測準確率。

2)C&C Botnet Detection over SSL(MasterThesis，2014.10)，作者采用6個特征進行SSL中的僵尸網絡命令與控制通道檢測，分別來自證書和SSL握手消息的服務器身份標識(Server Name Indication)擴展，具體來說為：1)證書驗證結果(是否是可信證書)；2)證書的有效期的開始時間；3)是否采用雙向認證；4)通過TLS協議的擴展項中server name和證書的通用名，即主機名與證書持有者是否相符。5)當遇到自簽名證書時，計算servername和最常訪問的100個站點(Alexa)之間的Levenshtein距離。6)分析server name域，看是否是隨機的值。通過基于特征的規則借助腳本和人工進行了三步分析，最后從67個SSL連接中識別出惡意的SSL連接37個。