北京观成科技有限公司的加密流量威胁检测系统针对金融行业加密流量安全痛点，创新融合人工智能多模型检测、自适应学习及流行为特征分析技术，在不解密前提下实现了对APT攻击、银狐木马、勒索病毒等高级加密威胁的高效识别，显著提升了检测精准度（误报率降低90%）与结果可解释性；其分层架构设计（涵盖数据接入、预处理、核心业务及可视化层）确保了实时监控能力，有效应对金融数据泄露风险，并通过专用模型（如APT组织行为库）强化行业适配性；该方案不仅有效解决加密威胁检测难题，同时在推动国内相关技术发展、提升社会治理水平（如减少经济损失30%以上）方面创造了显著的社会经济效益，体现了金融科技安全领域的标杆价值，建议深化行业推广应用以持续优化模型对抗新型威胁。

随着科技的发展，数据保密与安全传输面临日益严峻的挑战。从网络流量领域视角审视，全球网络迈向全面加密时代已成必然趋势。当前，国内政企网络的加密流量占比已接近80%。流量大规模加密化，为安全检测带来了巨大挑战。Gartner 2021年报告指出，全球超过70%的网络攻击采用加密手段。Enterprise Strategy Group分析报告则显示，2022年逾95%的企业曾遭遇由加密流量引发的安全事件。Zscaler在《2023年加密流量数据报告》中进一步明确，目前85.9%的网络威胁通过加密通道发起。在实际网络攻击事件中，APT攻击、黑灰产木马、勒索窃密等恶意行为广泛利用密码技术规避安全检测，以保障其恶意活动的隐蔽性。据统计，超过70%的恶意软件或攻击行为已转向加密通信；大量APT组织采用加密通信实施攻击，其中部分技术水平较高的重要国家APT攻击行为的加密通信占比已达100%；在攻防演练中，高水平红方普遍采用加密方式隐藏渗透行为。

与威胁加密化趋势形成鲜明对比的是，传统基于流量的威胁检测产品多依赖中间人证书卸载解密后进行明文规则检测，缺乏识别与检测加密威胁的能力。因此，亟需构建针对加密流量的威胁检测能力。相较于传统全流量威胁检测（即明文检测），加密流量威胁检测的核心难点在于无法对传输载荷内容实施审计。为应对这一挑战，北京观成科技有限公司通过整合行为检测方法（如精准的上线、心跳、指令下发等行为特征识别）与人工智能检测方法（包括机器学习、深度学习、增量学习及集成学习等不依赖内容审计的技术），在该领域深度应用，成功打造了一款基于AI综合决策的加密流量威胁检测系统。

一、技术创新

1.基于人工智能的多模型检测技术

使用多模型检测技术可以对每条加密流量进行有针对的检测，解决由于部分特征缺失所造成的模型误报问题，并且对于检测的结果可以看出各个部分所表示的结果，提高了模型检测结果的可解释性，而且该技术可以比较准确的检测不完整的加密流量。

在利用AI算法形成多模型检测的技术路线中，通过借鉴集成学习的思想，通过对加密流量进行深度分析，将加密流量所能提取的特征相对独立的分为：时空特征、握手特征、证书特征、背景流量特征，分别构建和训练单独的子模型进行检测。不同类型的加密流量，根据所包含的信息，调用不同子模型进行预测，最终在子模型输出基础上，再进行加权平均得到最终预测结果，从而识别加密威胁。下图展示了人工智能多模型的运行流程示意图，在对原始数据的特征提取和分类后调用不同的智能模型进行分析，在综合决策后实现威胁检测。

图1人工智能多模型

在特征工程方面，主要从以下时空特征、握手特征、证书特征、背景流量特征等几个方面着手考察加密流量。

图2 基于人工智能的多模型检测技术

2.基于自适应学习的恶意加密流量检测技术

针对目前利用机器学习技术检测恶意流量存在误报率高的问题，引入基于增量学习的自适应手段，通过在一定时间周期内提取现网场景白流量的方式，使得原有的固化模型能够学习到最新的流量知识，可在入联高对抗攻击如加密Webshell等方面提升准确率，误报率可降低90%，从而大幅提升检测能力。通过在系统中引入了自适应学习技术，通过收集现网流量数据，将其作为训练集的重要组成部分，并定期更新检测模型。经过严格的测试验证，可以有效证明这一方案能够显著降低误报率，从而提高检测的准确性和可靠性。

图3 固化模型

在构建自适应模型时引入了增量学习的概念，这也是构建自适应模型的核心技术。通过增量学习，可以是系统能够不断的从新样本中学习新的知识，并能保存大部分之前学习到的知识。增量学习的目的是在保留旧知识的情况下，能够很好的适应新领域，学习新的知识。在自适应模型的构建过程中，加入增量学习技术，能够在充分学习新环境中的知识的情况下，不会遗忘模型学到的历史知识，从而丰富了模型的检测能力。

图4 自适应模型

3.基于流行为特征的恶意加密流量检测技术

基于流行为特征构建的恶意加密流量检测模型比基于IOC的传统检测模型相对比，实现了检测能力从无到有的突破，并且可以准确识别出心跳、下发控制指令、窃密数据回传等恶意攻击行为。在不依赖于已知的域名、证书等先验特征的前提下，通过对流量行为的分析，通过在通信过程中客户端、服务端的交互方式、交互数据量、交互时间等方面存在的固定特点寻找流量数据的相似性和相关性，进行深度特征提取，构建恶意家族的行为检测模型，进而实现对未知恶意加密流量的检测。

以TLS协议为例，TLS协议承载的正常应用层会话（如HTTPS会话），每个请求和响应，其客户端/服务端交互方式、交互数据量、交互时间等都会有一定的行为方面的差别。通过分析远控木马的业务类型，其行为基本不会脱离激活、上线、下发、回传、心跳，因此在客户端、服务端的交互方式、交互数据量、交互时间等方面都会有固定的特点。这些特点反映在TLS协议的密数据交互，即Application Data消息（以下简称APPDATA）阶段。系统分别从单流、多流角度构建恶意家族的行为检测模型进行检测。

（1）单流行为特征

TLS单流行为层面，在APPDATA交互阶段可获取三类信息，一是方向信息，即数据包是上行还是下行；二是大小信息，即APPDATA消息载荷的长度；三是时间信息，即APPDATA消息到达的时间间隔。

（2）多流行为特征

根据TLS多流行为进行提取多流行为特征，表现恶意家族多次会话行为上的特征。多流行为特征主要可分为三类：时间特征、长度特征、数量特征。时间特性主要包括多次会话持续时间、多次会话之间的间隔信息等；长度特征主要包括多次会话中每个会话上行流量、下行流量、总流量的大小等；数量特征主要包括多次会话中每个会话的上行包数、下行包数、总包数等。

4.基于限定域指纹的同源威胁分析技术

攻防对抗烈度升级导致大量攻击攻击采用魔改变种的方式，通过限定域指纹的同源威胁分析技术以解决传统手段难以有效检测的问题，发现同源威胁并提供了有效地数据支撑和分析依据。同源攻击检测技术是将具有相同攻击者信息或相似攻击特征的攻击定义为同源攻击，具有同源攻击特征的攻击者被判定是否属于同一攻击组织，以此来实现攻击者溯源。以SSL/TLS协议为例，通过搜集大量恶意加密流量，并进行处理，构建恶意加密流量SSL/TLS协商家族指纹库。待检测SSL/TLS协议加密流量中提取生成其SSL/TLS协商家族指纹后，与之SSL/TLS协商家族指纹库做匹配，若能命中，则可获知待检测SSL/TLS协议加密流量的家族信息。

图5 家族指纹计算过程

获取SSL/TLS协议加密流量时，会提取协商部分的元素集，通过0/1频数算法、信息熵算法、卡方算法去掉随机元素，并去掉包含大量可见字符的元素，组成元素集，再将其计算哈希值，作为TLS协商家族。基于限定域指纹的同源威胁分析技术能够依据恶意家族种类、APT攻击组织类型将获取的加密流量进行有效地分类和定位，并对每一类恶意家族和APT组织的攻击行为深入分析提供有效支撑。

5.基于交互特征的流量行为画像研判方式

针对加密流量威胁告警可解释性差与研判困难的问题，通过提出威胁描述语言、恶意交互行为描述及握手检测、证书检测信息可视化展示提供研判依据和提升可解释性。基于行为检测引擎本系统提供了具有原创特色的交互特征的流量行为画像的呈现方式，用以辅助分析研判威胁信息。通过流量行为画像，能够清晰的将威胁的交互特征体现出来，能够将威胁可视化、具象化。

在流量行为中，通过柱形图的形式进行呈现，在顶部会将关键的特征进行标记，如客户端限定域指纹、木马心跳行为、木马指令行为等，点击具体的特征，在柱形图中会将对应的特征高亮形式。而在柱形图中，进一步将流进行拆解，X轴上方代表上行流，Y轴下方代表下行流，柱子高度表示上下行包大小，图例中又进一步将特征进行划分，分别对应的心跳请求、心跳响应、接收受控指令、返回受控指令、确认受控指令以及背景流量信息。此外，还会提供握手信息和证书信息，用以辅助分析与研判加密威胁告警。

二、技术方案

基于AI综合决策的加密流量威胁检测系统是将人工智能技术与安全检测技术相结合，主要实现恶意家族、加密攻击、隐蔽隧道、APT加密通信、黑客工具等维度的加密威胁检测。在不解密的前提下，基于加密流量之前的握手信息、证书信息以及加密流量的背景流量信息等，构建多层面细粒度特征工程，引入AI人工智能利用集成学习的方式训练机器学习模型并引入增量学习算法持续自迭代模型，通过对加密威胁深入研究形成检测CS、WebShell等专项模型，再结合独创的限定域指纹、流行为特征等多种方法形成一套综合决策体系的检测系统。系统架构从下到上分别为：数据接入层、数据预处理层、核心业务层、数据应用层、展示呈现和管理控制等部分。

1.数据接入层

数据接入层主要实现实时流量数据和离线数据的高速接入，采用基于DPDK技术实现实时流量的高速接入，支持远程和本地两种离线数据接入方式。

2.数据预处理层

数据预处理层主要实现数据预处理及数据存储。数据预处理实现包括链路层协议的识别与解封装、IP分片数据和TCP分片数据的重组、明密识别以及网络层和应用层常见标准协议的识别和元数据提取。数据存储是在协议识别与解析的基础上，实现原始数据和元数据的高速存储。

3.核心业务层

核心业务层是本系统的核心，利用实时检测引擎、深度分析引擎、可计算规则引擎和随机性检测引擎四大分析引擎实现加密威胁的识别，特别是对恶意家族和APT攻击组织恶意加密流量的识别。

4.数据应用层

核心业务层是将核心业务层中关于加密威胁识别的技术在应用中的使用和结果体现。

5.展示呈现

展示呈现主要为了呈现各类检测统计结果，并以可视化的方式呈现出来，同时为了提高系统的可运维性，提高基于AI检测可解释性，本系统提供了威胁评分、威胁标签、鱼骨图以及决策图等可视化、智能化的呈现手段，实现迅速、直观的理解识别结果。

6.管理控制

图7 加密流量威胁检测系统架构图

三、应用效果

基于AI综合决策的加密流量威胁检测系统破解了加密化威胁难于检测的难题，提供了从数据采集、数据智能化分析、核心业务检测、可视化分析等一整套系统化解决方案，实现了加密威胁防御领域的重大突破，对于金融、能源、政府等行业构建可靠、可信的安全保障体系具有十分重要的意义。加密威胁智能检测系统针对加密威胁检测能力进行提升后，可以创造以下效益：

1.促进国内加密流量检测技术的发展。加密流量威胁检测系统的投入运行，实现了理论研究与工程实践的有机结合，在加密威胁防御领域起到了技术引领作用，还提供了大量工程化经验，引领了国内行业内在加密流量检测的研究，大幅加速了加密流量检测技术的发展。

2.提升社会治理水平。通过加强加密网络安全防护，政府能够更好地监管和管理网络空间，从而提高公共服务的质量和效率。

3.提升网络攻击和数据泄露的检测能力。通过加密威胁智能检测系统检测攻击者通过各种隐蔽隧道（HTTP/DNS/DoH/ICMP等）窃取敏感数据，提升对数据泄露的防护能力。能够减少了因数据泄露导致的经济损失，也维护了相关企业的信誉。

4.提高高级威胁的检测能力。通过加密威胁智能检测系统可以从加密的角度快速发现已知和未知的高级网络攻击，尤其是在关键基础设施行业减少攻击造成的经济损失。

文/北京观成科技有限公司