精华内容
下载资源
问答
  • exe机器加密视频如何破解提取脱壳
    千次阅读
    2019-08-18 12:57:29

    如何破解视频文件的许可证? 数字版权保护(DRM,Digital Rights Manager)介绍 数字版权保护方法主要有两类,一类是以数据加密和防拷贝为核心的DRM技术,另一类是采用数字水印技术。 数据加密和防拷贝为核心的DRM技术,是把数字内容进行加密,只有授权用户才能得到解密的密钥,而且密钥可以与用户的硬件信息绑定的。加密技术加上硬件绑定技术,防止了非法拷贝,这种技术能有效地达到版权保护的目的,当前国内外大部分计算机公司和研究机构的DRM技术采用这种方法,针对各个应用领域,有不同的DRM系统: (1) 流媒体的DRM 流媒体的DRM主要有Microsoft Windows Media DRM、Real DRM等。 (2) eBook的DRM系统 eBook 的DRM技术相对比较成熟,国内外的应用也较多。国外的eBook DRM系统,有Microsoft DAS、Adobe Content Server(原Glassbook Content Server)等等,国内的eBook DRM系统有方正Apabi数字版权保护系统。 (3) 电子文档的DRM 电子文档的DRM有SealedMedia Enterprise License Server、Authentica Active Rights Management以及方正Apabi Office DRM、方正Apabi CEB DRM等等。 (4) 其他DRM研究工作 其他作DRM研究的有Intertrust的DigiBox和Rights|System,IBM的Cryptolope等等,这些系统注重DRM基本原理的研究,不针对具体的某一类数字内容。 更多 第一部分 DRM简介 数 字版权保护技术可有效地杜绝通过网络和计算机非法复制、拷贝、传送数字信息产品。数字版权保护功能如下:DRM服务器软件是一个端到端的数字版权管理系 统,实现一个可扩展的平台用来安全地分发数字产品。它采用的核心技术主要是密码学,系统构架应该和具体的应用结合,比如与mpeg4相关应用等。 数字版权管理系统保护数字信息产品不受下列行为的攻击: □ 用户未经授权,通过欺骗或解密的方式在线收看或离线播放流媒体内容。 □ 授权用户将数字内容以未经保护的形式保存或分发。 □ 用户对数字内容进行许可证限制范围之外的操作。 □ 授权用户将自己的许可证提供给他人使用。 □ 实现在线版权保护和下载数字版权保护两种方式。 对用户操作的限制可包括: □ 播放时间限制(播放许可证的生效日期和失效日期)。 □ 播放次数限制。 □ 许可证与用户使用的硬件环境绑定。 在DRM 中,首先建立数字节目授权中心,它类似于我们通常熟知的CA认证机构。编码压缩后的数字节目内容利用密钥进行加密,加密后的数字节目头部存放KeyID和 节目授权中心的URL。当用户进行点播时,发出请求,再通过授权中心送来的密钥进行解密。DRM在实际应用中通常采用不对称加密算法对内容加密,并采用安 全的数据库存储。加密算法用于内容加密和证书发放:在证书传送之前采用公钥算法对证书加密。加密算法用于内容加密,加密后不会增加源内容长度。 在微软公司(Microsoft)公司的Windows Media Rights Manager中,媒体文件打包加密的处理包括:编码、压缩、用密钥对它进行加密处理以及用来自数字证书的密钥为它签名(如果您有数字证书,并希望将其包 括在内的话)。其它信息也会添加到该文件中,如文件的标题、艺术家的姓名、版权声明、标题图像、可获取许可证的 URL 以及其它 URL。生成的打包媒体文件以 Windows Media Audio(扩展名为 .wma )或Windows Media Vedio(扩展名为 .wmv )保存,并可以在支持这些格式的任何媒体播放器(如 Microsoft Windows Media Player)中播放。要播放打包的媒体文件,客户必须获得许可证,其中包含的密钥可用来解锁此内容。当客户第一次播放某个打包的媒体文件时,获取许可证的过程就会自动开始。如果在客户的计算机上检测不到许可证,Web 浏览器就会打开一个注册网页,提示客户输入信息,如电子邮件地址。 然后就会颁发许可证,这样客户就可以播放此媒体文件了。 客户注册以后,就会颁发License许可证,这样客户就可以播放此媒体文件了。License中由两部分组成:解密密钥,权限信息。权限信息采用XML 格式表述,其中可以描述该License 允许使用的时间、播放的次数、用户更改时钟后是否允许播放等信息。客户端Media Player 得到 License后会读取License中的权限信息,根据权限信息控制用户的使用范围和周期,并保证License的存放安全。

    更多相关内容
  • 1、灵活的认证授权模式,比如:一机一码加密,video2exe,一码通授权等;可以指定 播放次数、播放时间和截止日期等; 2、可以设置播放时断开网络,禁止用户通过远程共享或者远程翻录; 3、可以设置播放时禁止开启...
  • 这篇文章主要介绍了Python Des加密解密如何实现软件注册码机器码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 原理 判断路径下是否存在识别文件,若存在就...
  • 与传统机器码验证,我并没有使用太大强度的加密,为了方便使用,我用了精易自带的加密加密出纯数字的方便客户复制粘贴 不像往常客户加密出来是字节集 需要写进txt文本里面 然后用户在读! 调用北京时间,并非...
  • 算法交易者 用于基于时间序列机器学习模型的预测来进行加密/股票市场买卖的算法交易机器人
  • 基于机器学习技术,无需对加密的恶意流量进行解密,通过分析加密流量中的未加密信息、上下文数据等特征,借助常见的机器学习算法实现对加密流量的分类检测,发现加密恶意流量中潜藏的安全威胁。

    1 加密流量现状

    1.1 加密流量检测的必要性

    在当今的网络设置中,安全传输层协议是为网络流量提供加密的一个主要协议。网络中的流量实际上是以比特流的形式存在,经过各类协议封装成不同格式的数据包之后,再在网络中进行传输。常见的网络协议有以下几类:

    • 应用层协议:HTTP-超文本传输协议,定义了用户在客户端与Web服务器之间进行报文交换的形式,提供网页通信;DNS-域名系统,提供主机名转换到IP地址的域名解析服务;FTP-文件传输协议;
    • 安全加密协议:TLS-传输层安全性(其前身为SSL-安全套接字层),提供加密通信;IPsec-IP安全协议,提供网络层安全性保证;
    • 网络层和传输层协议:IP-网际协议,进行网络编址;ICMP-因特网控制报文协议,在主机和路由器之间传递控制消息,进行网络差错控制;UDP-用户数据报协议,提供不可靠、无连接的实时数据传输服务;TCP-传输控制协议,提供可靠、面向连接的数据传输服务。

    本文关注的是以TLS/SSL协议加密的网络恶意流量的检测问题。TLS(Transport Layer Security)称为传输层安全性,SSL(Secure Sockets Layer)称为安全套接层,SSL是TLS的前身,两者都属于安全传输层协议,作用在网络体系中的传输层和应用层之间,用来提供客户端与服务器之间的加密通信。

    图1

    上图显示的是使用Wireshark抓取的一条加密流的报文,我们从中选取一条TLS报文消息,从下图的解析结果中可以看到,TLS实际上就是通过在传输层之上新增了一个安全套接层来实现安全加密功能的。

    图2

    近年来,合法的流量大多都已经采用了TLS标准。比如通过google、百度检索返回的网页都已经大规模使用了HTTPS。

    • Google,《Chrome中的HTTPS加密情况》,2019年10月,Chrome加载网页中启用加密的比例已经达到了95%;
    • 百度,近年来一直强制网站更换HTTPS,使用HTTPS的网站占比预计超过60%;

    注:HTTPS顾名思义,就是在HTTP的基础上应用了TLS/SSL协议。当你打开浏览器访问一个网页,该网页的url以这样的形式开头,就说明你正在使用这类安全传输层协议提供的加密服务。

    与此同时,越来越多的恶意软件也开始采用TLS加密来伪装成看起来正常的流量,企图逃避安全检测。这一类恶意软件几乎覆盖了所有类型,包括特洛伊木马、勒索软件、感染式病毒、蠕虫病毒、下载器等。Gartner公司曾给出预测,直到2020年,仍然会有超过60%的企业无法有效解密HTTPS流量,但加密流量中将会隐藏超过70%的恶意软件。因此,实现加密恶意流量的有效检测是非常有必要的。

    1.2 加密恶意流量的检测方法

    现有的针对加密恶意流量的检测方法主要分为以下两类:

    检测方法主要思想优点局限性适用主体
    传统的流量检测方法深度包检测(DPI)检测准确度高面临着隐私保护、计算开销等限制未加密流量为主
    基于机器学习和背景数据的流量检测方法Data omnia高效地识别加密流量检测稳定性有待验证未加密、加密流量均可

    本文重点关注基于机器学习和背景流量数据的流量检测方法,在介绍该方法前需要了解以下几个概念:

    • 深度包检测(DPI, Deep Packet Inspection)技术:通过解密来检查数据包中的数据内容来判断流量的性质;

    • Data omnia:主张通过扩展流记录将与加密流相关的所有背景流量数据都包含在内;

    • 背景流量数据:广义上说,除了数据内容之外其余与加密流相关的数据都可以视为背景流量数据。具体可以分为三类数据:

      • 可观察的元数据:具体包括头部字段中的源目的IP和端口,以及数据流的总字节数和数据包数等。因为流量加密操作只会加密数据内容而不会改变流量的统计特征;
      • TLS流头部数据:对于TLS加密流而言,它的头部字段是未被加密的,这意味着可以通过获取TLS头部字段中的一些参数来推断流量的性质;
      • 上下文数据:与加密流的某些属性相关联的其它协议数据,比如HTTP和DNS报文流。

    因此,基于机器学习和背景流量数据的流量检测方法的工作流程可以简要概括如下:首先对前面提到的几类背景流量数据进行采集,然后基于这些数据对加密流量的特征进行分析,将分析得到的特征输入机器学习分类模型,基于分类模型来对加密流量进行正常或恶意的属性判定。这一方法所要完成的任务实际上就是一个二分类问题。

    2 加密流量特征分析

    这一部分主要基于第一部分中讨论的三类背景流量数据对加密流量的三大类特征展开分析。这三类特征分别为:

    • 可观察的数据元统计特征:包括传统流数据、字节分布以及分组长度和分组到达时间间隔的序列;
    • 未加密的TLS头部信息特征:包括基于客户端和服务器的特定TLS特征;
    • 上下文数据特征:包括DNS和HTTP上下文流。

    我们希望能够通过分析这些特征,最终得到这样一个1*n维的特征向量,便于输入到后续的机器学习分类器中。

    图3

    2.1 可观察的数据元统计特征

    2.1.1 传统流数据

    • 流入和流出的字节数和数据包数(宏观上表现为上行流量和下行流量)
    • 源端口和目的端口
    • 流量总持续时间(以秒为单位)

    像这类数值型特征,我们可以直接将原数值不加处理地添加到特征向量之中。

    2.1.2 字节分布

    字节分布是指数据包有效负载中遇到的每个字节值的计数,也就是计算一个字节可能取到的256个数值在数据流中出现的频次。选取这一特征是因为它能够提供大量的数据编码和数据填充的信息,很多恶意流量的非法行为往往就隐藏在这些信息中。将字节分布计数除以在分组的有效载荷中的总字节数,可以得到字节分布频率,进而近似得到字节分布概率,最终将这一特征表示为一个1*256维的字节分布概率序列。

    2.1.3 分组长度和分组到达间隔时间的序列

    在正常的网络环境中,大部分服务提供商会针对不同的业务类型对数据流中的数据包大小和发送频率进行处理,以此提高用户的体验。基于这一思想,我们考虑恶意软件在试图进行不同于正常业务类型的攻击行为时,是不是也会在这类时序特征上与正常流量表现出一定的差异呢?

    对于这类特征,我们使用了马尔可夫链进行建模。在介绍马尔可夫链之前,我们需要先了解一下马尔可夫性质是什么。马尔可夫性质也叫无记忆性,这一性质表达的含义是指,一个随机过程的下一个状态,永远只由它当前的状态决定,而与它过去的任何状态都无关。如果一个随机过程满足马尔可夫性质,那么它就构成了一个马尔可夫链中的一环。

    而在具体处理这类时序特征时,马尔可夫链起到的作用就是:首先它将序列中的每个值映射成一个状态(往往是一个多对一的映射,即多个值可能同时对应于一个状态),同时将这些值之间的时序关系映射成各个状态之间的转移行为,将这些转移行为存储在一个状态转移矩阵,再经过一系列归一化和扁平化处理,最终得到了一个状态转移概率序列。

    对于分组长度,忽略零长度有效载荷(如ACK)和重传,数据包长度被视为UDP、TCP或ICMP数据包有效负载的大小,如果数据包文不是这三种类型之一,则将长度设置为IP数据包的大小。最大传输单元MTU一般为1500字节,因此上述协议数据包的有效负载区间为:TCP - (0, 1460B], UDP/ICMP - (0, 1472B], IP - (0, 1480B]。对于分组到达间隔时间,其分辨率为毫秒级。
    在这类特征中,我们是将分组长度序列和分组到达间隔时间序列的值分别离散化为10个相同大小的“箱子”,表示10个不同的状态。

    • 长度数据:其马尔可夫链有10个箱子,每个箱子150字节
    • 时间数据:其马尔可夫链有10个箱子,每个箱子50ms

    然后构造转移矩阵A,其中每一项A[i,j]表示第i和第j个箱子之间的转换次数。最后,对矩阵A的行进行归一化得到转移概率矩阵,再进行扁平化处理得到两个1*100维的状态转移概率序列,即最终的马尔可夫链。所有序列项将被用作后续机器学习算法的特征。

    2.2 未加密的TLS头部信息特征

    2.2.1 TLS协议

    TLS及在此之前的SSL都是安全传输层协议,它位于传输层和应用层之间,
    用于在两个通信应用程序之间提供安全通信,保证数据的完整性和保密性。TLS协议自顶向下由握手协议和记录协议共两层子协议组成。其中,TLS握手协议用于通信客户端和服务器之间协商安全参数,以建立起一个有状态连接进行数据传输。通过握手协商过程,通信双方需要确认使用的协议版本、加密算法、证书和会话密钥等信息。

    对于未加密的TLS头部信息特征,我们主要关注TLS握手协议中的信息。因为TLS握手协议有两个特点:一是TLS虽然加密了明文,但并没有加密握手过程;二是在协议的版本更新过程中,基本的握手参数都不曾有过改变,这就意味着我们可以通过分析TLS握手协议中的一些参数来对流量属性进行合理的推测。

    图4

    上图显示的是TLS v1.2定义的一个握手过程。其中包含一些关键的消息流:

    1. 客户端发送Client Hello消息,可以从中获取到客户端提供的参数信息,包括:

      • 列出的密码套件列表(Cipher Suites)
        • 密钥交换算法、加密算法
        • 报文认证消息码(MAC)算法
      • 支持的扩展列表(Extensions):提供额外功能或设定
    2. 服务器发送Server Hello消息,可以从中获取到服务器给出的参数信息,包括选定的密码套件和TLS扩展。

      下图是一条加密流中的Server Hello消息报文,可以从中看到服务器选定的密码套件,并且每个密码套件都有一个与之对应的十六进制数值。图中Cipher Suite字段表达的含义是:基于TLS协议,密钥交换算法选用RSA,加密算法选用RC4(密钥长度为128位),哈希算法选用MD5,这个密码套件对应的值为0x0004。

      图5

    3. 服务器发送Certificate消息,其中含有服务器签发的证书信息。如下图所示,完整的证书信息会显示在消息流中的SignedCertificate字段中,包括证书签名算法、签发机构、证书有效期、证书主题等。

      图6

    4. 密钥交换消息,可以从Client Key Exchange消息中获取到密码套件中设定的密钥交换算法的一些参数。

    因此,在具体的特征提取过程中,我们可以从客户端和服务器两个角度来展开。

    2.2.2 基于客户端的特定TLS特征

    通过统计分析,我们可以发现基于客户端的以下特征在正常流量和恶意流量中存在着明显的差异。这些特征为:

    • 客户端在密钥交换算法中选用的公钥长度:从Client Key Exchange消息中收集的,表示为单个整数值
    • 客户端列出的密码套件列表:从Client Hello消息中收集,取其十六进制代码组成特定长度的二进制向量
    • 客户端支持的扩展列表:与密码套件列表类似

    下图为针对上述特征的统计分析图。

    图7

    注:图中蓝色表示正常流量,红色表示恶意流量,横坐标表示该特征的不同取值,纵坐标表示流所占的百分比。

    其中,公钥长度可以直接以数值形式表示,而密码套件和TLS扩展则分别以一个二进制向量的形式存储,向量中的1和0表示当前加密流中是否存在该位置所代表的密码套件或TLS扩展。

    2.2.3 基于服务器的特定TLS特征

    通过统计分析,我们可以发现基于服务器的以下特征在正常流量和恶意流量中存在着明显的差异。这些特征为:

    • 服务器选定的密码套件:从Server Hello消息中收集
    • 服务器选定的TLS扩展:与密码套件类似
    • 服务器签发的证书信息:从Certificate消息中收集,包含证书的数量、SAN名称数量、有效天数以及是否有自签名证书

    注:SAN是指主题备用名称,用来补充证书主题的缺失信息;恶意流量数据中使用自签名证书的TLS服务器的频率比良性数据大约高出一个数量级。

    下图为针对上述特征的统计分析图。

    图8

    其中,选定的TLS扩展列表同样可以采用二进制向量的特征表示形式来表示,而其余三个数值型特征可以直接添加到特征向量之中。

    2.3 上下文数据特征

    2.3.1 DNS上下文流

    DNS上下文流是指基于目标IP地址与TLS相关的DNS响应,它提供加密流使用的地址,以及与名称关联的TTL,同时能够补充加密流中可能缺失的一些信息。比如,DNS响应报文中提供了目的IP与域名的对应关系,而从签名的角度来看,DNS提供域名的动态性是低于它关联的IP地址的,因此这个信息能够提供一个强大的黑名单机制(记录那些已经标记为恶意的流量都倾向于访问哪些域名)。

    基于上述思想,我们首先对DNS上下文流特征进行统计分析,最后发现以下特征在正常流量和恶意流量中存在着明显的差异:

    • 域名长度
    • DNS响应返回的IP地址数
    • DNS TTL值:一条域名解析记录在DNS服务器上的缓存时间(32个最常见TTL值的列表和一个“其他”选项)
    • 域名在Alexa榜单的排名:用来评价网站访问热度的一个常用指标

    注:域名在Alexa榜单的排名实际上是一个第三方白名单的机制,选取这一特征的原因是考虑到恶意流量关联的域名其访问热度往往是比较低的。

    下图为针对上述特征的统计分析图。

    图9

    对于前三类数值类特征,无需处理可以直接添加到特征向量中,而域名在Alexa榜的排名情况则需通过一个1*6维的二进制向量来表示,这6个维度分别表示域名是否在Alexa榜的前100/1000/10000/100000/1000000以及不在榜单中的情况,然后这一特征会为每个域名选择相应的类别,属于哪一类就将该类所在的位置标记为1。

    2.3.2 HTTP上下文流

    HTTP上下文流是指在TLS流 5 min窗口内由相同源IP地址发出的所有HTTP流。恶意软件可能利用HTTP头部的某些字段(比如content-type, server等)来发起一些恶意活动,这说明HTTP字段能够很好地指示一些恶意活动。

    基于这样的思想,我们同样选取了以下能够反映正常流量和恶意流量之间差异性的HTTP上下文流特征:

    • 流入和流出HTTP字段的种类:有一个二进制变量的特征向量表示所有观察到的HTTP头,如果任何HTTP流具有特定的标头值,则无论其他HTTP流如何,该特征都将为1
    • HTTP特定字段(Content-Type、Server、Code)的取值

    下图为针对上述特征的统计分析图。

    图10

    对于这两类特征我们同样采取二进制向量的形式予以表示。

    至此,我们就已经完成了加密流量特征分析的整个过程,最终得到了这样一个1*n维的特征向量。需要说明的是,不管是正常流量还是恶意流量,我们都可以通过前面的特征分析过程得到这样的一个特征向量。而n的具体取值还要取决于实际使用的加密流量数据格式。

    3 实验与评估

    这一部分介绍一个基于真实数据集的加密流量分类实验。

    3.1 数据集

    这个实验采用的数据集分为黑白样本两个部分,所有实验数据都是在经过TLS握手完整性和上下文数据完整性两重过滤得到的无缺失数据。

    • 黑样本——恶意数据集
      • 13542个同时具有DNS和HTTP上下文的恶意TLS流;
      • 从2016年1月到4月,在商业沙箱环境中收集;
      • 在这一环境中,用户可以提交可疑的可执行文件,每个提交的样品可运行5 min,随后由环境收集并存储每个样本的完整数据包捕获。
    • 白样本——良性数据集
      • 42927个同时具有DNS和HTTP上下文的良性TLS流;
      • 2016年4月的5天内,在大型企业网络中收集。

    3.2 分类模型

    实验使用逻辑回归分类器,对所有分类结果都有L1正则化惩罚(L1-logistic)。

    L1-logistic回归模型实际上就是一种使用了sigmoid函数作为联系函数的广义线性模型。而L1正则化主要通过在损失函数中添加L1正则化项,从而产生稀疏模型来达到防止过拟合的目的。研究发现这种分类器非常有效,并且对网络数据特征分类表现非常好。

    对于输入特征 x x x,输出标记 y y y,假设线性回归模型预测值 z = h ( x ) = ω T x + b z=h(x)=\omega^Tx+b z=h(x)=ωTx+b,则logistic回归模型满足: y = 1 1 + e − z y = \frac{1}{1+e^{-z}} y=1+ez1

    在此基础上,带L1正则化的损失函数为: J ( ω ) = − [ 1 m ∑ i = 0 m y ( i ) log ⁡ h ( x ( i ) ) + ( 1 − y ( i ) ) log ⁡ ( 1 − h ( x ( i ) ) ) ] + λ ∥ ω ∥ 1 J(\omega) = -[\frac{1}{m}\sum_{i=0}^{m}y^{(i)}\log{h(x^{(i)})}+(1-y^{(i)})\log{(1-h(x^{(i)}))}]+\lambda\Vert\omega\Vert_1 J(ω)=[m1i=0my(i)logh(x(i))+(1y(i))log(1h(x(i)))]+λω1

    3.3 实验过程

    在本次实验提供的数据集下,利用第二部分介绍的加密流量特征分析方法,得到一个800维左右的特征向量,并且所有数据特征都会被归一化为零均值和单位方差的形式。同时,所有分类结果都使用了十折交叉验证:通过划分10次9:1的训练集和验证集,获得10次不同的分类结果,最后取10次分类结果的平均指标进行评估。

    3.4 评估结果

    实验结果以不同的特征组合和总体准确度两个维度来展示,如下图所示。总体准确度是指所有正确分类的样本在总样本所占的比例。可以看到,从单独使用未加密的TLS头部信息特征,到加入可观察的数据元统计特征,再到最终加入上下文数据特征,流量分类的总体准确度是在不断提升的。

    图11

    实验结果表明,仅使用加密流中未加密的TLS头部信息,能够实现96.335%的总精度;使用来自加密流本身SPLT+BD+TLS的信息,能够实现99.933%的总精度;使用与加密流的所有背景数据,最终能够实现99.993%的总精度。

    4 总结与展望

    4.1 总结

    本文介绍的基于机器学习和背景流量数据的加密恶意流量检测方法,它的核心在于基于data omnia思想的特征提取:通过收集和关联与加密流相关的所有背景流量数据,发现并提取出在黑白样本存在明显差异的特征(包括三大类:可观察的数据元统计特征、未加密的TLS头部信息特征和上下文数据特征),并将其用于加密流量的分类任务。

    4.2 展望

    对于基于机器学习和背景流量数据的加密恶意流量检测方法的后续研究,我有以下几点展望:

    1. 在真实情况下加密流量中经常会出现字段信息缺失的现象,比如在TLS会话恢复的情况下,证书将不存在。因此需要通过实验去验证不同的特征处理方式或特征组合会达到什么样的分类效果;
    2. 实验中用到的黑样本数据都是在沙箱中采集的恶意软件通过加密通信产生的流量,这只是加密恶意流量中的一种表现形式,我们前面分析的特征在这一类恶意流量中的表现很可能是高度近似的,这也解释了实验结果中最终分类的总体准确度达到了99.99%以上的原因。这就迫使我们后续去关注加密恶意流量的其它表现形式(一是加密通道中的恶意攻击流量,如CC攻击;二是恶意或非法加密应用的通信流量,如非法VPN),通过实验去验证使用当前特征对其它形式的加密流量进行分类是否仍然能够达到较好的效果;
    3. 后续可以尝试进行多种机器学习分类模型(比如随机森林、XGBoost等)的对比与验证,去探索进一步提升检测效果的可能。

    参考文献

    [1] Anderson B, McGrew D. Identifying encrypted malware traffic with contextual flow data[C]//Proceedings of the 2016 ACM workshop on artificial intelligence and security. 2016: 35-46.
    [2] Korczyński M, Duda A. Markov chain fingerprinting to classify encrypted traffic[C]//IEEE INFOCOM 2014-IEEE Conference on Computer Communications. IEEE, 2014: 781-789.
    [3] Anderson B, Paul S, McGrew D. Deciphering malware’s use of TLS (without decryption)[J]. Journal of Computer Virology and Hacking Techniques, 2018, 14(3): 195-211.

    展开全文
  • 能够获取CPU序列号和硬盘序列号并且进行MD5的加密生成一个机器
  • 1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的...

    1 概述

    近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。

    HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。

    这种情况对安全分析人员构成了挑战,因为流量是加密的,而且大多数情况下看起来像正常的流量。 检测企业内部HTTPS流量的一种常见的解决方案是安装HTTPS拦截代理。 这些硬件服务器可以通过在其计算机中安装特殊证书来打开和检查员工的HTTPS流量。 HTTPS拦截器位于客户端和服务器之间,其中加密流量被解密,扫描恶意软件后,再次加密并发送到目标IP。 此方法允许使用经典检测方法来检测未加密的恶意软件流量。 使用拦截器的问题在于它昂贵,计算要求高,同时造成网络性能下降,而且它不尊重HTTPS的原始想法,即拥有私密和安全的通信。

    本文将为大家介绍一种在不解密流量的情况,可以高精度地检测恶意软件HTTPS流量的技术。

    2 恶意软件加密流量介绍

    2.1 使用加密通信的恶意软件分类

    目前使用加密通信的恶意软件家族超过200种,使用加密通信的恶意软件占比超过40%,使用加密通信的恶意软件几乎覆盖了所有常见类型,如:特洛伊木马、勒索软件、感染式、蠕虫病毒、下载器等,其中特洛伊木马和下载器类的恶意软件家族占比较高。

    2.2 恶意软件加密通信方式

    恶意软件产生的加密流量,根据用途可以分为以下六类:C&C直连、检测主机联网环境、母体正常通信、白站隐蔽中转、蠕虫传播通信、其它。

    C&C直连 – 恶意软件在受害主机执行后,通过TLS等加密协议连接C&C(攻击者控制端),这是最常见的直连通讯方式。

    检测主机联网环境 – 部分恶意软件在连接C&C服务器之前,会通过直接访问互联网网站的方式来检测主机联网情况,这些操作也会产生TLS加密流量。通过统计发现:使用查询IP类的站点最多,约占39%;使用访问搜索引擎站点约占30%,其它类型站点约占31%。

    母体程序正常通信 – 感染式病毒是将恶意代码嵌入在可执行文件中,恶意代码在运行母体程序时被触发。母体被感染后产生的流量有母体应用本身联网流量和恶意软件产生的流量两类。由于可被感染的母体程序类别较多,其加密通信流量与恶意样本本身特性基本无关,本文就不做详细阐述。

    白站隐蔽中转 – 白站是指相对于C&C服务器,可信度较高的站点。攻击者将控制命令或攻击载荷隐藏在白站中,恶意软件运行后,通过SSL协议访问白站获取相关恶意代码或信息。通过统计发现,最常利用的白站包括Amazonaws、Github、Twitter等。

    蠕虫传播通信 – 蠕虫具有自我复制、自我传播的功能,一般利用漏洞、电子邮件等途径进行传播。监测显示近几年活跃的邮件蠕虫已经开始采用TLS协议发送邮件传播,如Dridex家族就含基于TLS协议的邮件蠕虫模块。

    其他通信 – 除以上几类、还有一些如广告软件、漏洞利用等产生的恶意加密流量。

    3 加密HTTPS流量解析

    3.1.Https简介

    HTTPS协议也称为SSL上的HTTP安全或超文本传输协议,是以安全为目标的 HTTP 通道,通过传输加密和身份认证保证了传输过程的安全性 。 如果没有加密,任何设法查看客户端和服务器之间的数据包的人都可以读取通信。

    Http:在通讯的过程中,以明文的形式进行传输,采用wireshark抓包的效果如下:

    Https:所有的请求信息都采用了TLS加密,采用wireshark抓包的效果如下:

    3.2.流量深度解析

    3.2.1 流量解析日志生成

    使用流量包深度解析方式提取HTTPS流量中的足够信息日志,包括连接通信日志、SSL协议日志、证书日志三部分。

    从3个日志中可以获得以下信息:
    (1)连接记录
    每一行聚合一组数据包,并描述两个端点之间的连接。连接记录包含IP地址、端口、协议、连接状态、数据包数量、标签等信息。

    (2)SSL记录
    它们描述了SSL/TLS握手和加密连接建立过程。有SSL/TLS版本、使用的密码、服务器名称、证书路径、主题、证书发行者等等。

    (3)证书记录
    在日志中的每一行都是一个证书记录,描述证书信息,如证书序列号、常用名称、时间有效性、主题、签名算法、以位为单位的密钥长度等。

    3.2.2 流量解析日志中的数据关联

    流量包深度解析后生成日志数据,任何日志中的每一行都有唯一的键,用于链接其他日志中的行。
    – 通过连接日志记录中的唯一键,可以和SSL协议日志中的唯一键进行2个记录的关联。
    – 通过协议日志中一列使用逗号拼接成的id键值,可以在证书日志中找到每个id对应的证书记录。

    3.2.3 流量解析的证书日志

    流量解析后的证书路径存在ssl协议日志中的Certificate path列,其中存储了所有证书的id键值,每一个逗号分隔的id值对应证书日志中的一条证书记录。

    4 特征工程

    基于连接4元组进行特征提取,通过来自连接日志、SSL协议日志、证书日志中的数据创建连接4元组,并提取特征用于机器学习模型训练。

    4.1 连接4元组

    根据连接日志中的id、SSL协议日志中的id进行连接,再根据得到的conn_ssl.log中的证书路径,取第一个key,和证书日志中的id进行再次关联,在得到的关联结果中,根据连接4元组(源IP、目标IP、目标端口和协议)相同的数据,进行group聚合操作,然后对于得到的每个连接4元组,根据聚合结果进行特征提取。

    4.2 特征提取

    对于每个连接4元组,我们提取了37个特征,大部分是基于我们对该领域的专业知识和对我们的恶意软件数据的彻底分析而创建的。对于这些特征,我们将它们分为3组:连接特征、SSL特征、证书特征。
    – 连接特征是来自连接记录的特征,描述与证书和加密无关的通信流的常见行为。
    – SSL特征是来自SSL记录的特征,描述了SSL握手和加密通信的信息。
    – 证书特征是来自证书记录的特性,描述了web服务人员在SSL握手期间提供给我们的证书的信息。每个特性都是某个浮点值,如果由于缺少信息而无法计算该特征,则值为-1。

    4.2.1 连接特征

    连接特征共包含12个,部分举例如下:
    (1)聚合和连接记录的数量。每个连接4元组包含的SSL聚合和连接记录数量和。
    (2)持续时间均值。每个连接4元组的连接参数duration的均值。
    (3)持续时间标准差。每个连接4元组的连接参数duration的标准差。
    (4)超出标准差范围的持续时间占比。每个连接4元组的所有持续时间值中有多少百分比超出了范围。这个范围有两个极限,上限是均值+标准偏差,下限是均值-标准偏差。
    (5)总发送包大小。每个连接4元组的所有连接记录发送的有效负载字节数。

    4.2.2 SSL特征

    SSL特征共包含10个,部分举例如下:
    (1)连接记录中ssl连接的占比。连接4元组中非ssl连接和ssl连接的个数比值。
    (2)TLS与SSL的比值。连接4元组中tls版本分布占比。
    (3)SNI占比。连接4元组中server_name不为空的比例。
    (4)SNI is IP。连接4元组中server_name为ip地址的比例。

    4.2.3 证书特征

    证书特征共包含15个,部分举例如下:
    (1)公钥均值。连接4元组中全部证书exponent的均值。
    (2)证书有效期的平均值。连接4元组中全部证书的有效天数的均值。
    (3)证书有效期的标准差。连接4元组中全部证书的有效天数的标准差。
    (4)捕获期间证书周期的有效性。连接4元组的全部证书中没有过期的占比。

    5 模型效果

    数据集选择,对于负样本,使用https://www.stratosphereips.org/datasets-malware 网站下公开的恶意软件捕获结果集,目前已有349个恶意样本集。同时,使用一批最新的恶意软件10w个,通过沙箱捕获恶意软件产生的流量。对于正样本,一部分使用日常办公网中正常流量,同时使用爬虫爬取alexa中访问最多的top10000网站,采集产生的流量作为另一部分数据集。

    经过数据清洗和过滤后,最终得到正样本46949条,负样本45121条。

    使用多种机器学习模型,进行训练,选择其中效果较好的模型,随机森林模型和XGBOOST,准确率如下:

    最后,为了便于测试模型效果,使用Flask开发了一个web在线检测页面,可以上传pcap进行检测恶意流量,收集20个最新的恶意软件进行测试,最后检出20个。

    6 具体实施

    技术选型选择Spark,因为每日流量数据很大,如果采用使用Spark Streaming在线实时检测会特别消耗机器性能,所以采用离线检测方式,流量深度包解析后的数据存储到Hive中,定时从Hive中读取数据,加载模型,进行检测。

    7 总结

    本文介绍了基于机器学习的检测恶意加密流量的方法,首先需要了解https的相关知识,还需要对流量解析器解析出来的连接日志、协议日志、证书日志中的字段含义有比较深入的了解。最后,在具体实施的过程中,还需要对数据进行清洗和过滤,比如恶意软件流量中会夹杂一些正常流量,可以根据域名进行过滤,保证训练数据的准确性。

    转载出处:斗象能力中心TCC-Chris

    展开全文
  • 如果你想给 Mac 上的所有东西备份,可以用系统内置的「时间机器」备份工具。 使用「时间机器」备份 Mac 需要什么东西? 只需要一个外置储存设备,比如移动硬盘或者NAS(你可以理解为带网络连接功能的硬盘),也...

    如果你想给 Mac 上的所有东西备份,可以用系统内置的「时间机器」备份工具。

    使用「时间机器」备份 Mac 需要什么东西?

    只需要一个外置储存设备,比如移动硬盘或者 NAS(你可以理解为带网络连接功能的硬盘),也可以用 AirPort 时间返回舱(它是苹果做的一个专门用来备份的硬件产品,已停产,在此就不讲了)。另外其实也可以备份保存到另外一台 Mac,只要那台 Mac 的硬盘存储空间足够大。

    用来备份的硬盘空间要多大?

    一般留个你的 Mac 硬盘空间的 2 到 4 倍就可以了。比如你的 Mac 本身硬盘空间是 256G,那你准备一个 256G 的硬盘就可以用来备份了,但是可能在几次备份后就用尽了。所以可以准备稍微大一点的空间,比如一个 512G 或者1T 的硬盘空间专门用来做「时间机器」备份。

    在第一次把移动硬盘设置为时间机器备份存储盘之前,可能会因为磁盘格式等问题需要先抹掉(俗称格式化)。如果你打算把这个移动硬盘只用来做时间机器备份那就无所谓。如果还想用来存储其他数据, 那我建议把这个硬盘格式化成两个分区。一个分区正常用,一个分区专门用来做时间机器备份。

    如何用「时间机器」备份?

    把移动硬盘接到 Mac 上。如果是用 NAS,只要保证 Mac 和 NAS 在同一个局域网下就可以了(Mac 用网线或者 Wi-Fi 都行)。

    打开 macOS 的「系统偏好设置」,找到「时间机器」点进去。

    如果你的这台 Mac 之前没有做过时间机器备份,就点「选择磁盘」。

    然后在显示的可用备份磁盘里选你要用来备份的移动硬盘或者 NAS 磁盘。选择移动硬盘可能会要求先「抹掉」这个硬盘(或分区),选择「抹掉」。注意抹掉会删除这个分区里的所有数据。如果移动硬盘分了两个区,没有被选择的另一个分区数据不受影响。

    如果想给备份加密,可以勾选「加密备份」,然后设置一个备份密码(这个密码一定不要忘记,要不然就备份了也没法用)。这样即使别人拿到备份硬盘也是无法看到里面的备份数据。

    选择好时间机器备份的位置后,可以勾选左侧的「自动备份」。这样 Mac 会根据自己的备份策略来自动备份。

    如果想每次都自己动手备份,可以勾选下面的「在菜单栏中显示时间机器」。然后在菜单栏点「时间机器」的图标,然后选「立即备份」,就会开始备份当前的 Mac 状态。

    当然,如果是用移动硬盘备份,每次备份都要先连接上 Mac 才能开始。如果是用 NAS 备份,只要在同一个局域网环境下就可以开始备份,会更方便一些。

    有时我们为了节省硬盘空间而不想备份整个 Mac,也可以不备份某些不太重要的文件夹。比如下载文件夹等。可以点右下角「选项」,然后在弹出窗口点 + 号来选择一些不想备份进去的文件夹。

    第一次备份因为要完整备份,所以比较慢(可能需要几十分钟到几小时),之后每次就只备份发生变化的部分,就会快很多了。

    可以备份保存到另一台 Mac 上吗?

    比如你有一台 256G 的 MacBook Air 和一台 1T 硬盘的 iMac 台式机。iMac 放在家里固定位置用。Air 会经常移动使用。你想把 Air 通过「时间机器」备份保存到 iMac 上。

     

    先在 iMac 上打开「系统偏好设置」-「共享」,勾选「文件共享」。然后在右侧点 + 号,添加一个新建的文件夹用来保存备份。比如新建一个名字为「时间机器备份」文件夹。

    然后选择这个文件夹,鼠标右键打开「高级选项」,然后勾选「共享为时间机器备份目的位置」。可以设置一个限制备份大小,比如500G。

    这时候打开 Air 的「系统便好设置」-「时间机器」,点「选择磁盘」,就能在可用磁盘中看到 iMac 上的「时间机器备份」文件夹位置。选择这个位置就可以把 Air 通过时间机器备份保存到 iMac 硬盘上了。

    如何恢复备份?

    用时间机器恢复备份一般有两种使用场景。

    一个是恢复之前有备份的任意文件。比如你 Mac 桌面上有一张图片,但是几天前被你删除并且清空废纸篓了。恰好你的时间机器在那段时间做了备份。就可以进入时间机器。

    把「访达」位置打开到桌面,然后通过右边选择备份的时间来找到要恢复的那张图片并选中它,然后点「恢复」按钮,这个文件就会重新恢复到你现在的 Mac 桌面上。

    还有一个恢复场景就是把 Mac 整个恢复成上次备份的最新状态。比如遇到系统崩溃就可以通过时间机器还原到上次备份的完整状态。

    或者新买了一台 Mac,也可以把旧的时间机器备份直接恢复到新 Mac

    也可以用 macOS 自带的「迁移助理」工具把当前 Mac 完全恢复到有备份的状态。

    用「时间机器」备份有什么好处?

    备份更完整

    「时间机器」可以备份整个 macOS 上所有东西,比如文件、安装的软件、照片、甚至当前在用的系统版本。它会制作过去 24 小时的每个小时备份、最近一个月的每天备份,以及更早月份的每周备份。

    有了这些备份,你就可以随时把 Mac 恢复到制作有备份的任意时刻的状态,就像回到过去的某一个时间点。

    加密备份更安全

    可以选择加密备份,这样万一用来备份的移动硬盘丢失,别人也无法通过这个移动硬盘看到你的备份数据。

    而如果只是简单的拷贝 Mac 上的资料到硬盘,一旦硬盘丢失,里面的资料数据也就泄漏了。

    另外,还可以设置同时备份到多个磁盘,比如备份到 NAS 的同时,也备份到移动硬盘。把鸡蛋放在两个篮子里,多一重保障。

    自动备份更方便

    可以设置自动备份,也可以随时手动备份一次当前时刻的状态。如果你家里有一台 NAS,甚至这个备份过程都是无感的。

    总结

    「时间机器」真的是名副其实的 Mac 备份最佳方案。如果你对 Mac 上的***安全比较重视,强烈建议你用「时间机器」工具对你的 Mac 定期备份,这样即便遇到系统崩溃也不怕了。

    除了保证日常数据安全。在你的 Mac 送修、体验新 macOS 系统(尤其是测试版)等之前都建议先做一次备份。

    毕竟 Mac 有价,数据无价。

    展开全文
  • 问题 mac 在首次备份的时候发现特别慢,发现是因为mac对备份做了限速,为了不影响mac的正常使用。 经过验证,我们可以输入:sudo sysctl debug.lowpri_throttle_enabled=0来关闭限速。 备份完成后可以再次输入sudo ...
  • mac时间机器的使用

    千次阅读 2021-08-23 14:17:26
    要使用“时间机器”创建备份,只需一个外置储存设备。连接储存设备并选择它作为备份磁盘后,“时间机器”会自动制作过去 24 小时的每小时备份、过去一个月的每天备份以及之前所有月份的每周备份。如果备份磁盘已满,...
  • 1)一机一码,可限制播放的机器数目:每台机器通过序列号和授权码才能播放,限制非付费用户的播放 2)可限制播放次数 3)可限制播放时间 4)离线保护:不需要联网即可实现一系列的权限限制,可将许可信息和许可绑定到...
  • 从“时间机器”备份恢复 Mac

    千次阅读 2020-02-25 18:20:10
    了解如何将“时间机器”备份中的所有文件转移到 Mac 上。 如果您使用“时间机器”创建了 Mac 的备份,可以从该备份或者启动磁盘上的本地快照恢复文件。在原件从 Mac 中被删除后,或者 Mac 中的硬盘(或 SSD)被抹掉...
  • 开启Time Machine 后,按下选择磁盘⋯并点选我们的备份硬盘,这时候请勾选下方的加密备份,就可以设定备份硬盘的密码,这个动作请在第一次加密前就先使用,因为它会先清除原本的硬盘内容(格式化),然后边进行备份...
  • Mac之时间机器的使用

    千次阅读 2020-10-08 20:23:01
    Mac之时间机器的使用 时间机器 对您的所有文件进行自动备份,包括应用、音乐、照片、电子邮件、文稿和系统文件。如果您拥有备份,当原始文件从 Mac 永久性删除或者 Mac 中的硬盘(或 SSD)被抹掉或更换时,可以从...
  • 前言: 公司分配的MacBook Pro电脑时常自动重启。体验很差. 经过Apple 官方确认,13 英寸 MacBook Pro(无触控栏)设备中使用的为数不多的 128 GB 和 256 GB 固态硬盘 (SSD) 存在问题,可能会导致...使用“时间机器...
  • 同态加密机器学习中的应用

    千次阅读 2019-07-24 11:26:00
    同态加密加密机器学习中的应用研究综述[J]. 计算机科学, 2018(4):46-52. 同态加密  Rivest等人[1]于1978年最早提出了同态加密的概念:同态加密是一种加密形式,允许用户直接对密文进行特定的代数运算,得到的...
  • PostgreSQL 数据加密之 pgcrypto

    千次阅读 热门讨论 2020-10-16 16:22:50
    PostgreSQL 扩展模块 pgcrypto 提供了单向加密算法 MD5、SHA、HMAC ,PGP 双向加密算法 Blowfish、AES、DES 等,可以用于实现数据的加密和解密。本文介绍了这个模块的安装、函数的使用以及实际案例,包括用户密码...
  • 摘要:本文总结提出了一种主流的机器学习加密流量分析的方法 如何在不侵犯个人隐私的前提下,在加密流量中检测恶意攻击行为,为了找到一种切实可行的“在加密流量中检测恶意攻击行为”的方法,Infosec团队借鉴了...
  • 金甲企业数据保密系统EDS(英文Enterprise Data Security )是武汉风奥软件技术有限公司针对广大企业...外协文件指定机器、规定时间内才能使用 9.重要文件密级定义,加强重要文件安全性10.群组控制 11.支持移动客户端
  • EXE文件加密器 v9.0.rar

    2019-07-14 00:51:34
    支持 2000, 2003, XP, Vista, WIN7, 32-bit and 64-bit Windows 操作系统;  加密EXE文件并可以一机一码授权分发,用户必须得到您的授权才可以... 二、可以设置文件在某个时间段有效,或者在某个时间点后失效等等。
  • PDF文件加密器 v10.0.zip

    2019-07-17 19:19:54
    2、机器码算法重大改进,用户重装电脑、换系统也不会引起机器码改变; 3、完全脱离adboe reader, 加密后的pdf文件不需要安装任何第三方阅读器; 4、可以控制授权用户打印质量; 5、添加了文件编号的显示; 6、...
  • 金盾加密软件

    2014-08-23 17:14:25
    5、正式版金盾2017S防翻录又增利器,新增播放窗口位移功能,播放过程中播放窗口会按你指定的时间移动变换位置, 让任何翻录软件都无可奈何,如果是全屏播放会自动退出全屏再换位置; V2017版重要更新: 1、播放器...
  • 一:什么是加密机 有什么作用 常用操作?? 通俗易懂的讲,加密机就是把我们看的懂的密码,打包成个快递,然后才可以在计算机里面各种传递。计算机使用者就像快递员一样,只能传,传的啥却不被允许知道。在传到要...
  • 如何在数据加密的情况下,获取传输数据内容相关的有效信息,将是未来一段时间研究方向。 本场 Chat 将以 Youtube 视频传输报文为例,结合机器学习的方法,讲述如如何获取视频的分辨率。为基于加密数据的分析研究提供...
  • lua加密教程_我们相信加密! 教程

    千次阅读 2020-06-30 05:05:52
    lua加密教程 许多人认为加密是一个复杂的主题,这很难理解。 可以实现其某些方面,但是每个人都可以理解它在更高层次上的工作方式。 这就是我要处理的这篇文章。 用简单的术语解释它是如何工作的,然后使用一些...
  • 为什么非对称加密比对称加密慢?

    千次阅读 2020-07-28 23:42:07
    这个问题是一个读者面试时遇到的一个问题,准备过面试的人应该都记得,非对称加密与对称加密的区别之一就是非对称加密的速度慢,但是我们做业务开发的时候通常都是直接调用算法,对其原因并没有过多深究,因此如果有...
  • 可搜索加密基础知识的归纳与总结

    千次阅读 2021-04-29 15:37:34
    可搜索加密(Searchable Encryption,SE) 以博主看过的文献或查阅的资料为基础,本博文将介绍可搜索加密(Searchable Encryption,SE)的相关知识点,以及归纳与总结。这也是博主个人的学习过程,长期更新,建议收藏,...
  • 注册过程是用户将程序运行后显示的机器码(C盘的卷序号)发回给管理员,管理员对机器加密后生成加密文件或字符串返回给用户。每次启动程序,在有注册文件的情况下,程序就会通过DES和base64解码,并与此刻获取到的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 116,274
精华内容 46,509
关键字:

时间机器 正在加密