浅谈侧信道流量检测技术【补】

在黑客的攻击活动中， 主机终端可以销毁黑客的证据，而网络数据包不会说谎， 有价值的上下文信息往往隐藏在网络流量中，挖掘出这些信息，可以用于分析黑客攻击行为的TTP、意图、成功与否和危害程度。

续上篇，简单补充介绍一下Corelight公司如何进行侧信道流量检测，实现这种信息挖掘及检测能力。

2019年，著名开源流量检测分析框架Zeek的商业赞助公司Corelight发布了加密流量检测功能，其中包含SSH推理功能，该推理功能是使用侧信道信号分析SSH加密流量，原理和 上篇介绍的 思科SPLT特征类似，是通过分析SSH加密流量数据包的长度、顺序和方向来推测相应的行为。

Corelight在先期的研究中已经发现SSH的网络流量对应相关行为有特别的 侧信道信号示波。

比如，SSH服务被持续暴力破解的示波结构。

比如，SSH成功身份验证并将少量数据传输到服务器的示波结构。

更进一步Corelight在SSH连接的整个生命周期中对其三个子协议的状态机进行了建模和跟踪，一旦SSH连接子协议开始，就从数据包序列结构中去推断客户端的使用模式和具体操作。比如：