客户端和服务器不支持一般 ssl 协议版本或加密套件。_恶意软件加密通信概要分析...

最新推荐文章于 2024-04-24 08:00:00 发布
最新推荐文章于 2024-04-24 08:00:00 发布
阅读量2.8k 收藏 1
点赞数
文章标签: 客户端和服务器不支持一般 ssl 协议版本或加密套件。

作者:Jo@北京观成科技

恶意加密流量是当前流量安全检测的痛点和难点。在未解密的情况下如何检测恶意加密流量,机器学习可提供颇为有效的解决方案。传统机器学习依赖于训练数据集和特征工程,而搜集的各类恶意加密流量种类繁多,且可能含有“杂质”,如果对这些数据不加区分,直接进行训练,将会影响模型检测的准确率和误报率。

b04452d1d84f4c779e1774eab1fa2568.png

我们把些恶意加密流量分为三类:恶意软件使用加密通信、加密通道中的攻击行为、恶意或非法加密应用。本文主要针对“恶意软件使用加密通信”进行分析,接下来将从三个方面进行阐述:

(1)恶意软件使用加密通信要素统计;

(2)使用加密通信的恶意软件分类;

(3)恶意软件加密通信方式分析。

一、恶意软件使用加密通信要素统计

为从宏观上总结恶意软件加密通信规律,我们对加密流量(十万个有效的恶意样本)的众多要素进行了统计分析。本文对其中四个要素:通信端口、SSL协议版本、客户端支持的加密套件个数和提供的扩展个数进行统计分析,从统计结果来看,恶意软件加密通信的要素存在一定的规律:

(1)通信端口

恶意软件加密通信使用的端口较为广泛,不仅包括TCP443、TCP465等标准端口,还包括部分非标准端口。整体来看采用TCP443端口最多,占85%以上;其他三个使用比较多的端口为TCP449、TCP9001、TCP465,分别占5.48%、3.71%、1.96%。

98a40ec29573f1f4957739469be8ced2.png

图1 恶意加密流量端口分布

(2)TLS/SSL协议版本

在恶意软件的加密流量中,使用TLSv1.2协议通信的占53.56%。早期的几类TLS/SSL版本仍在广泛使用,如

TLSV1.2占56.24%,TLSV1.0占36.26%,SSLV3占6.97%,TLSv1.1和SSLV2占的比重极小。

4b0e6c82737644d255829638e98ef3de.png

图2 恶意加密流量TLS协议分布

(3)客户端支持的加密套件个数

从统计结果看到,有将近35%的恶意软件支持12个加密套件,将近25%的恶意软件支持21个,约10%的恶意软件支持36个。

782340d8b6738753af9b7808e8e01e17.png

图3 客户端支持的加密套件个数统计

(4)客户端提供的扩展个数

通过统计发现,超过98%的恶意软件客户端提供的TLS扩展个数小于7;其中占比较大的扩展个数是5、3、0,分别占38%、32%、11%。

cce45cf5886c2fa10986bdd5c4928c8e.png

图4 恶意软件客户端提供的扩展个数

二、使用加密通信的恶意软件分类

我们监测发现,使用加密通信的恶意软件家族超过200种,所有恶意软件中使用加密通信占比超过40%,平均每天新增使用加密通信的恶意软件数量超过1000个,使用加密通信的恶意软件几乎覆盖了所有常见类型,如:特洛伊木马、勒索软件、感染式、蠕虫病毒、下载器等,其中特洛伊木马和下载器类的恶意软件家族占比较高。

d544c55402b7dceccd5a65da81b1280f.png

图5 加密通信的恶意软件分类

六大类恶意软件TOP5的病毒家族如下(微软杀毒引擎):

76a231e213b2626f5b45d4e5488c8f83.png

图6 典型加密通信恶意软件Top5

三、恶意软件加密通信方式

通过对恶意加密流量的分析,我们把恶意软件产生加密流量的用途分为以下六类:C&C直连、检测主机联网环境、母体正常通信、白站隐蔽中转、蠕虫传播通信、其它。恶意加密流量用途与各类恶意软件的对应关系如下:

下面,我们将对各类加密通信方式进行阐述:

(1)C&C直连

恶意软件在受害主机执行后,通过TLS等加密协议连接C&C(攻击者控制端),这是最常见的直连通讯方式。基于我们监测的数据统计结果,C&C地理位置分布统计情况如下:

c74d4093a053debdea226fb0b02a277d.png

图7 C&C地理位置

(2)检测主机联网环境

部分恶意软件在连接C&C服务器之前,会通过直接访问互联网网站的方式来检测主机联网情况,这些操作也会产生TLS加密流量。通过统计发现:使用查询IP类的站点最多,约占39%;使用访问搜索引擎站点约占30%,其它类型站点约占31%。

27c49b4169d2ec48bfa49fc9a1d3a80c.png

图8 检测主机联网环境站点

(3)母体程序正常通信

感染式病毒是将恶意代码嵌入在可执行文件中,恶意代码在运行母体程序时被触发。母体被感染后产生的流量有母体应用本身联网流量和恶意软件产生的流量两类。由于可被感染的母体程序类别较多,其加密通信流量与恶意样本本身特性基本无关,本文就不做详细阐述。

(4)白站隐蔽中转

白站是指相对于C&C服务器,可信度较高的站点。攻击者将控制命令或攻击载荷隐藏在白站中,恶意软件运行后,通过SSL协议访问白站获取相关恶意代码或信息。通过统计发现,最常利用的白站包括Amazonaws、Github、Twitter等。

03f764a0a59b53dbebc3490ea96fcf33.png

图9 白站隐蔽中转站点排行

隐藏恶意代码的中转文件类型包括图片、脚本、二进制数据等,如下三个实例:

(5)蠕虫传播通信

蠕虫具有自我复制、自我传播的功能,一般利用漏洞、电子邮件等途径进行传播。监测显示近几年活跃的邮件蠕虫已经开始采用TLS协议发送邮件传播,如Dridex家族就含基于TLS协议的邮件蠕虫模块。我们对36个蠕虫家族样本进行分析,有5个家族使用加密通信协议与C&C服务器建立连接:

30d46b337b5433a968b7544de6ad49ab.png

图10蠕虫样本加密通信占比

(6)其他通信

除以上几类、还有一些如广告软件、漏洞利用等产生的恶意加密流量。

四、总结

最后,我们将常见的恶意软件使用加密通信方式总结如下图:

79605fcdf9aa79aea668b19c59d52b9a.png

图11 恶意软件加密通讯示意图

我们利用上述分类方法,对前期流量数据进行分类处理,将恶意加密流量中的杂质进行过滤、并对其进行分类,再进行特征工程和模型训练调参。数据分类处理的细度和准确度,将直接影响最终模型检出的准确率和误报率。

weixin_39626237
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
客户端服务器支持一般 ssl 协议版本加密套件。_一篇文章让你彻底弄懂SSL/TLS协议...
weixin_39683863的博客
11-18 2万+
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学中的集大成者。SSL(Secure Socket Layer)安全套接层,是1994年由Netscape公司设计的一套协议,并与1995年发布了3.0版本。TLS(Transport Layer Security)传输层安...
搞定客户端证书错误,看这篇就够了
移动开发平台 mPaaS 的博客
10-19 4401
TLS/SSL 握手失败引起的连接异常问题怎么搞?阿里云 SRE 工程师手把手带你排查解决。
SSL.gz_SSL加密通信_SSL实现_ssl_ssl通信_通信加密
09-19
SSL通信,实现简单的ssl加密通信,有客户端和服务端口,以及实现脚本
解决客户端服务器支持一般SSL协议版本
mumanquan1的博客
08-14 3344
解决办法:
此站点的连接不安全,使用不受支持协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持协议 客户端服务器支持常用的 SSL 协议版本或密码套件。)
最新发布
Karka_的博客
04-24 1062
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错。
解决客户端服务器支持一般SSL协议版本加密套件问题
Habo_的博客
02-24 7万+
SSL(Secure Socket Layer)连接过程中,客户端服务器需要协商一种相同的加密协议版本加密套件,以确保数据的安全传输。2.加密套件不匹配:客户端服务器可能支持不同的加密套件,导致加密套件不匹配。3.协议配置不正确:客户端服务器SSL 协议配置可能不正确,例如使用不安全的协议版本加密套件,导致连接失败。1.协议版本不兼容:客户端服务器可能支持不同版本SSL 协议,导致协议版本不匹配。2.然后在TLS1.1和TLS1.2项中再分别新增两个项。5.ssl协议检测网站。
谷歌浏览器提示客户端服务器支持一般 SSL 协议版本加密套件(亲测有效)
Blueeyedboy521的博客
05-25 12万+
目录一、定位问题二、升级TLS1.21、原理之前架构调整架构2、配置nginx3、配置tomcat三、访问nginx即可 最近访问一部分网站时,出现如下图所示 “ 此网站无法提供案例连接,客户端服务器支持一般 SSL 协议版本加密套件 ” 的问题。 一、定位问题 点击浏览器中网址上面锁头出现如下: 然后点击网站安全链接,出现如下: 通过对比,可以看到,该域名因为使用的是 TLS 1.0,所以会出现问题,因为谷歌等大部分浏览器已经开始全面禁止TLS1.0了。所以我们需要升级我们的服务端支持TLS1
客户端服务器支持一般SSL协议版本加密套件解决方法
富朝阳的博客
05-13 1万+
网站使用了阿里云CDN加速,因为免费版阿里云(百度云)加速是不支持SSL的,也就是说免费版阿里云加速是不支持HTTPS的,HTTPS是单独按量计费的,如果你的预算不充足,流量较少。可以暂时关闭阿里云加速,关闭后等一会儿,网站再去访问HTTPS就已经正常了。问题的根本原因是访问域名携带了证书,而我们的解析CDN是没有配置证书的,因此我们只需要在服务商配置开启HTTPS加速即可,以阿里云为例,找到CDN配置的地方(根据提示完成配置证书的秘钥。我们可以单独购买服务商提供的流量包,以阿里云为例,如下是购买配置图(
为什么客户端服务器支持SSL协议
weixin_45265947的博客
02-27 2603
版本不匹配:SSL协议有多个版本,包括过时的SSL 2.0、SSL 3.0和较新的TLS(Transport Layer Security)版本(如TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)。如果客户端服务器使用这些不安全的SSL版本加密套件,现代化的客户端服务器可能会禁/用或不支持它们。配置错误:客户端服务器SSL配置可能存在错误,例如未正确启用SSL协议、未配置正确的证书或密钥文件、未正确配置加密套件等,这些配置错误可能导致SSL协议无法正常工作。
客户端服务器支持一般 ssl 协议版本加密套件。_搞定客户端证书错误,看这篇就够了...
weixin_39607837的博客
12-04 7200
1.TLS/SSL 握手基本流程图片来源于网络2.案例分享2.1 CFCA 证书的历史问题2.1.1背景某客户为其生产环境的站点申请了一张由 CFCA 签发的证书。相关域名正确配置该证书且启用 HTTPS 后,经测试发现他们的客户端 App 在低版本手机上( iOS < 10.0,Android < 6.0)无法连接到相关站点。客户端调试发现,控制台会看到证书无效的错误信息(Inval...
DES.rar_visual c_加密 通信_加密客户_客户端加密
09-20
同时,现代加密通信系统往往还会结合SSL/TLS协议,以提供端到端的加密,保护数据在传输过程中不被窃取。 总之,这个项目展示了如何利用C++和DES加密技术实现客户端-服务器间的安全通信。尽管DES已不再是首选的加密...
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器客户端根据各个ssl引擎提供不同的可用选项。 (OpenSSL、NSS、SChannel等)他们用。事实证明,找到中间地带是很困难的,特别是因为支持协议和密码套件大多没有文档化。
ssl加密协议通信.rar_SSL安全通信_client server_linux c ssl_linux ssl_认证
09-19
SSL(Secure Sockets Layer)加密协议是互联网上广泛使用的安全通信协议,它的主要目标是为网络通信提供加密处理,确保数据在传输过程中的安全性。在客户端(client)和服务端(server)之间建立SSL连接时,涉及到一...
cs.rar_CS_CS.rar_VC sorcket cs_vc socket cs _服务器 客户端
09-14
《VC++ Socket编程:构建客户端服务器通信》 在信息技术领域,Socket编程是一种常见的网络...在深入学习和实践中,开发者还可以探索更高级的主题,如SSL/TLS加密、异步Socket、UDP协议等,以满足更多样化的需求。
ip使用不受支持协议,​客户端服务器支持常用的SSL协议版本或密码套件
sqlora的专栏
02-23 4806
​ win11家庭版,使用edge浏览器,导出附件是提示 xxx.xxx.xxx.xxx 使用不受支持协议 客户端服务器支持常用的SSL协议版本或密码套件。 ​
客户端服务器支持一般 ssl 协议版本加密套件。_SSL/TLS 协议
weixin_39753211的博客
11-18 1万+
SSL/TLS 协议位于网络 OSI 七层模型的会话层,用来加密通信SSL(Secure Sockets Layer,安全套接字层)是一种标准安全协议,用于在在线通信中建立Web服务器和浏览器之间的加密链接。SSL 通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端服务器之间的安全通讯。TLS(Transport Layer Security,传输层安全)是 IETF 在 ...
此网站无法提供安全连接(客户端服务器支持一般 SSL 协议版本加密套件。)
热门推荐
No8g攻城狮的博客
11-28 12万+
最近访问一部分网站时,出现如下图所示 “ 此网站无法提供案例连接,客户端服务器支持一般 SSL 协议版本加密套件 ” 的问 题。 注意这里显示了非常关键的一句话,xxx使用了不受支持协议。从这句话入手,很快就查到了原因。原来是网站不支持HTTPS协 议,我将HTTPS改为HTTP访问,问题得到解决。 ...
客户端服务器支持一般 SSL 协议版本加密套件
09-01
客户端服务器支持一致的SSL协议版本加密套件时,会出现“此网站无法提供安全连接,客户端服务器支持一般SSL协议版本加密套件”的问题。这通常表示客户端服务器之间存在协议版本加密套件不匹配的情况。在SSL连接过程中,客户端服务器需要协商一种相同的加密协议版本加密套件,以确保数据的安全传输。可能出现这个问题的原因有几种。首先,客户端服务器可能支持不同版本SSL协议,导致协议版本不匹配。其次,客户端服务器SSL协议配置可能不正确,例如使用不安全的协议版本加密套件,也会导致连接失败。解决这个问题的方法包括检查并更新SSL协议版本、升级加密套件以及正确配置SSL协议。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [解决客户端服务器支持一般SSL协议版本加密套件问题](https://blog.csdn.net/Habo_/article/details/129203156)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [谷歌浏览器提示客户端服务器支持一般 SSL 协议版本加密套件(亲测有效)](https://blog.csdn.net/Blueeyedboy521/article/details/124963562)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值