CAB-21/TLS-Handshake-Intelligence-Profiler

# 传输层安全性（TLS）如今已被广泛使用，并彻底改变了网络通信方式。它保护了整个互联网的隐私和数据完整性。但这种广泛的加密使得网络安全防御者很难履行职责。使用深度包检测（DPI）和基于有效载荷的签名匹配的传统网络入侵检测系统（NIDS）正变得越来越无用，因为它们无法查看现代网络流量中加密的部分。结果，网络边界变得不那么清晰，使得恶意行为者更容易利用TLS加密明目张胆地隐藏其活动。 怀有恶意意图和高级持续性威胁（APT）的人迅速将这种防御盲点转化为武器。如今，自动化的僵尸网络、恶意软件命令与控制（C2）框架以及隐蔽的数据外泄通道经常使用常规的TLS连接来绕过周边安全控制。安全分析师必须在无法查看底层应用程序数据的情况下区分安全与危险的加密流量。这是因为恶意流量在表面上看起来与真实的HTTPS流量一模一样。这种操作现实要求从以有效载荷为中心的检测到以元数据和行为为中心的威胁推断的转变。 为了解决这个问题，网络安全工程师制定了加密指纹识别标准，其中最著名的是JA3以及更新的JA4套件。这些方法从TLS握手期间未加密的“Client Hello”消息中提取信息，例如支持的TLS版本和密码套件，以生成一个静态哈希来代表客户端应用程序。JA3和JA4在识别客户端和匹配已知恶意软件配置文件方面非常有效，但它们存在一些重大缺陷。它们生成没有行为上下文的静态指标，不提供任何可解释的威胁评分，并且可以通过密码限制等技术来规避。此外，静态哈希不会自动检查连接的时间或频率。 本项目提出了TLS握手智能分析器（THIP），这是一个预有效载荷威胁推断系统，旨在解决静态指纹识别的僵化约束。THIP不仅仅是在已知威胁数据库中查找精确的哈希匹配。相反，它将TLS握手的原始元数据转化为结构化的行为特征。系统会分析密码套件的多样性、扩展的密度、熵以及证书结构的长度，以推断客户端如何使用加密。然后，它利用这些指标为每次连接尝试计算一个动态风险评分，该评分可以在任何加密有效载荷数据传输之前进行解释。 本研究通过将静态TLS指纹转化为一种不断演进的方法，提供了一个增强的行为智能框架（THIP），用于安全智能/行为风险引擎、上下文风险调整模块，并且会根据其实施上下文（例如智能设备、企业服务器）动态调整风险阈值。此外，通过使用时间相关性引擎，将能够主动识别与恶意命令与控制基础设施（C2）相关的自动化、加密信标模式。 最终，本项目提供了一个高度透明且确定性的网络威胁狩猎机制，在保护用户隐私的同时，能够具体识别异常的加密行为。

标签：Apex, APT检测, Botnet检测, C2通信, JA3, JA4, SSL/TLS, TLS握手, 元情报, 元数据分析, 加密流量分析, 协议指纹, 多架构支持, 威胁推断, 安全运营, 客户端指纹, 异常检测, 情报驱动防御, 扫描框架, 数据外泄, 无载荷检测, 机器学习, 流量元数据, 网络安全, 网络流量, 网络边界, 行为特征, 逆向工具, 隐私保护, 预载荷分析