@Haggard
3年前 提问
1个回答

入侵检测如何处理加密流量

Ann
3年前

当入侵检测系统检测到加密流量后会通过基于负载随机性检测的方法、基于有效负载的分类方法、基于数据包分布的分类方法、基于机器学习的分类方法、基于主机行为的分类方法,以及多种策略相结合的混合方法对加密流量进行识别来确定里面没有木马或者病毒,因为目前加密能够像隐藏其他信息一样隐藏恶意流量所以入侵检测会对加密流量进行识别以检测。

入侵检测系统识别加密流量:

  • 加密与未加密流量,识别出哪些流量属于加密的,剩余则是未加密的;

  • 识别加密流量所采用的加密协议,如 QUIC,SSL,SSH,IPSec;

  • 识别流量所属的应用程序,如Skype,Bittorrent和YouTube。这些应用还可以进一步精细化分类,如Skype可以分为即时消息,语音通话,视频通话和文件传输;

  • 识别加密流量所属的服务类型,如网页浏览,流媒体,即时通讯,网络存储;

  • 识别HTTPS协议下的网页浏览,如 Facebook,YouTube,谷歌搜索,淘宝网,凤凰网或中国银行等;

  • 异常流量识别就是识别出 DDoS,APT,Botnet 等恶意流量;

  • 内容参数识别就是对应用流量从内容参数上进一步分类,如视频清晰度,图片格式。