加密是保護隱私的一個重要手段，能夠保護我們的數(shù)據(jù)不被窺探，能夠阻止犯罪分子竊取我們的信用卡信息、應用的使用習慣或密碼。

　　加密的重要性不言而喻，據(jù)最新報告顯示，截止今年2月，半數(shù)的在線流量均被加密。對于特定類型的流量，加密甚至已成為法律的強制性要求。

　　Gartner認為，到2019年，超過80%的企業(yè)網(wǎng)絡流量將被加密。雖然這對于重視隱私的用戶來說是一個福音，但IT團隊將面臨著嚴峻挑戰(zhàn)。面對大量涌入的流量，如果沒有解密技術，IT團隊將無法查看流量內(nèi)包含的信息。

　　這意味著加密是一把雙刃劍，保護隱私的同時也讓不法分子有了可乘之機。加密能夠像隱藏其他信息一樣隱藏惡意軟件，從而帶來一系列蠕蟲（以及木馬和病毒）。

　　思科首席工程師TK Keanini表示：“據(jù)Gartner預測，到2019年，半數(shù)的惡意軟件活動將利用某種類型的加密來隱藏交付、命令、控制活動以及數(shù)據(jù)泄露。”思科今日宣布推出的一款新產(chǎn)品正好可以用來應對這一威脅。

　　惡意軟件制造者對于加密非常了解，并且懂得如何利用這一技術。Gartner認為：“隨著HTTPS的使用量超過HTTP，通過加密網(wǎng)絡通道傳遞的惡意軟件將變得越來越多。”

　　《賽馬郵報》的安全經(jīng)理Alan Cain評論道：“Facebook、Twitter和LinkedIn等網(wǎng)站都在使用SSL，這些網(wǎng)站在過去都曾遭受過‘綁架贊（Likejacking）’、惡意軟件傳播、數(shù)據(jù)泄露和垃圾郵件等威脅的侵害。80%的安全系統(tǒng)不能識別或防范SSL流量中的威脅，這使得加密的惡意軟件成為當前業(yè)界最大的威脅。”

　　因此，Gartner認為，到2020年，超過60%的企業(yè)將無法有效解密HTTPS流量，從而“無法有效檢測出具有針對性的網(wǎng)絡惡意軟件。”

　　Gartner認為，屆時加密的流量中將隱藏超過70%的網(wǎng)絡惡意軟件，而對抗這些威脅的手段將會受制于反解密系統(tǒng)，即便是最大的IT團隊也無法忽視這一問題。

　　直到現(xiàn)在，處理此問題的常見方法是解密流量，并使用諸如新一代防火墻等設備查看流量。這種方法耗時較長，且需要在網(wǎng)絡中添加額外的設備。隨著威脅環(huán)境不斷變化，將安全功能集成到網(wǎng)絡中將有助于檢測所有威脅，甚至是藏匿在加密流量中的威脅。

　　那么我們應該如何抵御看不見的威脅呢？思科的專家找到了相關線索。

　　盡管您無法查看加密流量，但思科技術負責人Blake Anderson和思科高級安全研究事業(yè)部院士（Fellow）David McGrew發(fā)現(xiàn)了一種特殊的方法，可以獲知內(nèi)部隱藏內(nèi)容的線索。

　　Anderson和McGrew在去年十月發(fā)表的一篇名為《利用環(huán)境流量數(shù)據(jù)識別加密惡意軟件流量》的文章中寫道：“識別加密網(wǎng)絡流量中的威脅，為我們帶來了一系列網(wǎng)絡安全挑戰(zhàn)。”監(jiān)控這一流量對于發(fā)現(xiàn)威脅和識別惡意軟件來說非常重要，他們表示：“我們需要一種能夠保持加密完整性的方式，來幫助我們實現(xiàn)這一目標。” 他們開發(fā)了監(jiān)督機器學習模型，能夠充分利用網(wǎng)絡流數(shù)據(jù)獨特且多樣化的特性。他們介紹道：“這些數(shù)據(jù)特性包括TLS握手元數(shù)據(jù)、鏈接到加密流的DNS環(huán)境流，以及五分鐘內(nèi)來自同一源IP地址的HTTP-環(huán)境流的HTTP標頭。”

　　研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，提煉出了惡意軟件最明顯的一系列特性。

　　這一過程經(jīng)過了真實數(shù)據(jù)的測試，以確保不會產(chǎn)生誤報。最終思科推出了加密流量分析（ETA）技術，能夠在加密數(shù)據(jù)的三個特征中尋找惡意軟件的痕跡。

　　首先是聯(lián)接的初始數(shù)據(jù)包。這一數(shù)據(jù)包可能包含有關其余內(nèi)容的寶貴數(shù)據(jù)。然后是數(shù)據(jù)包長度和時間的順序，可以針對自加密流量開始傳輸以后的流量內(nèi)容提供重要線索。

　　最后，加密流量分析能夠檢查被分析的數(shù)據(jù)流中數(shù)據(jù)包的有效載荷上的字節(jié)分布。由于這一基于網(wǎng)絡的檢測流程由機器學習技術支持，其功效會隨著時間的推移而持續(xù)上升。

　　近日，思科推出了加密流量分析功能（Encrypted Traffic Analytics），并且將來自全新Catalyst? 9000交換機和Cisco 4000系列集成多業(yè)務路由器的增強型NetFlow，與思科Stealthwatch的高級安全分析能力進行組合。

　　思科企業(yè)網(wǎng)絡、物聯(lián)網(wǎng)和開發(fā)商平臺市場營銷副總裁Prashanth Shenoy表示：“思科憑借一流的安全產(chǎn)品組合，持續(xù)為其網(wǎng)絡設備構(gòu)建安全特性。思科推出的全面威脅防御架構(gòu)可將網(wǎng)絡作為傳感器和執(zhí)行平臺，來查看并處理所有威脅。”簡而言之，全球所有通過思科設備的流量現(xiàn)在都將向龐大的威脅檢測系統(tǒng)提供情報，使該系統(tǒng)能隨時隨地檢測并阻止威脅。Shenoy表示：“就如同我們看到有人在爭執(zhí)的時候，我們可能無法聽到他們在說什么，但仍可以從他們的手勢和表情中得知發(fā)生了什么。思科擁有顯著的優(yōu)勢，為現(xiàn)有的和未來的客戶提供加密流量分析。只有采用我們最新芯片組的全新硬件才能夠高速實時地進行分析，同時不會導致流量傳輸速度減緩。”

　　同時，思科的產(chǎn)品安裝量遙遙領先于全球其他網(wǎng)絡廠商，這意味著思科威脅防御系統(tǒng)的學習速度也遠遠超過其他廠商的產(chǎn)品。

　　采用Stealthwatch的思科網(wǎng)絡不僅可以檢測加密流量中的惡意軟件，還可提升加密合規(guī)性，包括揭示TLS策略違規(guī)、發(fā)現(xiàn)加密套件漏洞以及持續(xù)監(jiān)控網(wǎng)絡的不透明性等。

　　這意味著網(wǎng)絡將能夠檢測威脅，從而一舉解決了網(wǎng)絡加密流量所面臨的主要挑戰(zhàn)。Keanini表示：“借助我們的創(chuàng)新成果，企業(yè)將能更好地使用網(wǎng)絡來打造極具競爭力的安全應用。通過使用機器學習技術來分析元數(shù)據(jù)流量模式，思科甚至能夠在加密流量中發(fā)現(xiàn)已知威脅，并有效規(guī)避風險，而無需解密流量，這一技術手段是前所未有的。正是因為如此，思科新一代網(wǎng)絡將成為唯一一個既能為企業(yè)帶來強大安全性又能可靠保護隱私的系統(tǒng)。”