随着互联网技术的快速发展，网络流量的规模和复杂性不断增加。许多网站和应用程序已经采用加密技术保护用户的隐私和数据安全。然而，攻击者也逐渐倾向于使用加密通信，以避免被传统安全工具检测和阻断，增加了用户防御难度。

据Gartner统计，2020年已有超过70%的网络攻击使用加密流量。在近年的各种攻防实战中，从攻击入口到最终的命令控制，几乎全过程的流量都在向加密化方向发展。特别是命令控制阶段，攻击者往往采取加密隐蔽隧道技术夹带偷传数据，进行攻击指令的上传下达。加密隐蔽隧道主要采取两种加密方式，多态加密和隐写加密。多态加密就是将需要传输的数据通过各种手段加密混淆，使其与随机数据相似，宏观上难以判断。隐写加密主要通过模仿正常软件协议，将隧道流量隐藏在正常流量中传输，混于正常协议，隐蔽性强。

针对攻防实战中常见的加密隐蔽隧道工具，网御星云安全研究团队结合攻防经验，从每种隧道工具的协议入手，从工具原理出发，总结各类隧道通用与个性化“行为特征”，分类形成专用检测方法。以“机器学习、统计算法、威胁情报、深度包检测”等为技术底座，对隧道的“行为特征”进行全方位准确“描述”，形成以“流行为分析、域名分析、证书分析、包特征分析、握手信息分析”的多模型综合决策体系，相关能力已经在网御星云全流量分析取证系统（NFT）完成了落地，并在以往的实战攻防中取得了优秀战绩。

ICMP隧道

ICMP协议一般用于检测网络的可通性，是一种面向无连接的协议，可用在IP主机、路由器之间传递控制消息。由于ICMP隧道的特殊性，防火墙往往对其限制较少或不加限制，ICMP隧道正是利用了这个特点进行控制命令和隐蔽数据的传输。

在分析了多款ICMP隧道工具后，我们发现大多数隧道和正常ICMP数据传输是有明显差别的，例如发送和接收数据不同、包含敏感字符、包含其他协议标志等。基于上述特点，我们构建了ICMP隧道检测模型，对于常见ICMP隧道检测率达到98%以上，误报率低于1%。

图1 常见ICMP隧道工具特点

DNS隧道

DNS是互联网上非常重要的服务，主要用于域名与IP地址的相互转换。防火墙、入侵检测系统等出于可用性考虑大都不会过滤DNS流量，这为DNS成为隐蔽信道载体创造了条件。

在分析了多款DNS隧道工具后，我们发现DNS隧道在数据传输方面、交互行为方面都有明显的特点，例如特定格式或编码方式、请求域名长度较长、请求响应交互时间较长、请求频率较频繁等。基于上述特点，我们从上下行交互特征、传输敏感信息的域名特征等出发构建DNS隧道检测模型，对于攻防实战中常见的DNS隧道检测率达到95%以上，误报率低于5%。

图2 常见DNS隧道工具特点

HTTP（S）隧道

虽然ICMP隧道和DNS隧道可以很好地绕过防火墙或入侵检测产品，但由于其协议的限制，还是可以通过某些手段来快速区分正常数据传输和隧道传输的。于是，攻击者就将目光瞄准了能承载更丰富数据的HTTP协议，结合隐写加密技术将隧道流量隐藏在正常的HTTP通信字段中，从而实现隐蔽传输数据的目的。HTTPS隧道是HTTP隧道的加密升级版，可以利用TLS协议的特性更加充分地隐藏自己。

由于HTTP（S）隧道的高度隐蔽性，单纯使用一种检测维度通常无法有效进行检测，需要采用多种检测手段进行综合决策。

总体来说，HTTP（S）隧道检测主要分为三个部分，预处理、多模型计算和综合决策。

其中，预处理主要使用白基线过滤、协议过滤等方法对网络内的白业务流量进行基线过滤，对不符合HTTP（S）隧道的流量进行协议过滤。

在多模型计算中，我们综合使用了时间序列检测模型，域名检测模型、家族识别模型、证书检测模型、指纹检测模型等进行多维度计算。

时间序列检测模型主要针对HTTP（S）隧道的初始化过程、心跳过程进行检测，对不符合HTTP（S）隧道特点的流量进行过滤和识别。

家族检测模型针对不同隧道家族的时间序列特点、包特征特点进行检测，进而识别出其归属于某种隧道家族的可能性。

证书检测模型和指纹检测模型则主要是针对HTTPS隧道而言的。通常来说，HTTPS隧道的搭建者对于证书普遍基于“易于获得、批量获得”的原则，针对这个特性，我们对易于获得的HTTPS证书“贴标签”，再结合域名模型、白流量基线等综合判定其是否为可疑流量。指纹检测模型主要针对TLS协议的握手信息进行提取。在对已有一些开源TLS指纹研究后我们发现，正常软件和HTTPS隧道TLS指纹通常具有一定的重复性，同一个应用TLS指纹在不同情况下指纹也有可能不同，一些隧道工具也增加了TLS指纹修改功能。针对上述问题，我们对已有的TLS指纹进行改造形成了更“抗变形，抗重复”的TLS指纹，能更有效、更精准地识别具体加密应用或HTTPS隧道。

应用效果

自上述模型在网御星云全流量分析取证系统（NFT）落地以来，已成功应用于多个行业用户，帮助用户多次抓到加密隐蔽隧道攻击行为，并利用发现的隐蔽隧道线索，在NFT上进行溯源分析，捕获多个0day漏洞，得到了用户高度认可和好评。未来，网御星云还将不断优化产品和服务，全力保障各行业用户网络空间安全。