在面对越来越多的加密流量攻击时，对所有流量进行统一解密是最直接的办法。但如果采用串联部署，会因为解密过程消耗大量计算资源，导致多个网络出现性能明显下降；如果采用旁路部署，由于技术机制问题，绝大多数加密流量根本无法解密。

10 月 24 日，微步在线发布加密流量检测技术创新解决方案，打破旁路无法解密的困境，并且同时支持旁路与串联两种部署方式，资源占用少，延迟低，无需对现有网络进行改造，即可精准检测各类加密流量攻击，整体误报率低于 0.003%。目前，微步威胁感知平台 TDP、威胁防御系统 OneSIG 已同时支持 SSL/TLS 加密流量的高性能解密和精准检测。

加密流量检测的四大挑战

整体而言，当前加密流量攻击检测存在四大挑战。

第一是检测精准度低。为了减少解密过程的资源占用，不解密检测是目前相对主流的做法。不过，该技术主要通过对会话特征、时空特征等进行分析，不能对核心加密内容进行深度拆包，在复杂网络环境中误报率甚至高达到 10% 以上。此外，不解密检测很难提供有效证据解释告警产生的根因，这对告警研判和进一步的关联分析都极为不利。

第二是解密覆盖不全。由于流量加密技术设计之初就是为了防止旁路监听窃取流量数据，因此传统旁路解密存在很大的局限性，只能解密 TLS1.2 以下 RSA 加密算法，对于椭圆曲线等加密算法无能为力。而且随着 TLS1.3 的大规模普及，RSA 加密算法逐渐被抛弃，传统旁路解密变得更加不可用。

第三是计算性能瓶颈。在防火墙、WAF 等网关设备上对所有流量进行中间人解密，是目前唯一能够实现完全解密的手段。但解密过程涉及到复杂的数学运算，需要消耗大量的时间和计算资源，容易出现网络波动、延迟甚至是拒绝服务，直接影响到业务的实时性和连续性。

第四是网络改动较大。部署独立的流量解密设备将所有资源仅用于解密计算，并将解密后的明文流量交给其他安全设备，是解决单一设备性能不足的重要手段。但独立的解密设备需要另行串接至所有网络出口，对网络结构改动较大，大幅提升了部署和运维成本，故障率也随之增加。

轻量化 + 一体化解决加密流量攻击难题

对此，微步 TDP 首次创新了旁路轻量化解密技术，通过在主机上部署轻量化解密 Agent，可对 99% 以上的加密算法进行解密，打破了 TLS1.3 以上旁路解密几乎不可用的尴尬局面。解密后的明文流量则引流至 TDP 进行检测。

经过严格的实战环境测试，Agent 资源占用极少，并且完美兼容各类操作系统和复杂的网络环境，不会影响业务运行。

在检测能力方面，TDP 利用规则引擎、AI 引擎、威胁情报等多项技术，可将整体误报率控制在 0.003% 以内，同时提供丰富的上下文帮助运营人员确定威胁跟进并进一步研判分析。

另一方面，微步 OneSIG 还提供了解密、检测一体化的模式，基于中间人技术实现所有入站 HTTPS 流量解密，有效弥补了旁路解密少量证书无法覆盖的空白，无需另行串接其他解密设备。

在性能方面，OneSIG 基于高性能底层架构，采用硬件解密，大幅提升了解密效率，几乎不会造成业务延迟；在防护能力方面，OneSIG 可将 90% 以上网络攻击拦截于网络边界之外，其中 0day 检出率达到 81%；在易用性方面，OneSIG 支持透明网桥模式，能够即插即用，迅速部署上线。

值得注意的是，TDP 与 OneSIG 既支持独立部署，也支持联动部署。经过 OneSIG 的自动拦截，可大幅度降低后续其他串行网关以及内网 TDP 等设备的告警数量，减少人工参与；当 TDP 发现绕过网络边界的网络攻击时，可联动 OneSIG 或者其他网关设备进行阻断。

微步技术合伙人赵林林表示，在近些年攻防演练中，几乎所有 Web 渗透、恶意软件投递都是通过加密流量发起的。此次微步 TDP、OneSIG 同时支持高性能解密，将为用户在未来的实战过程中，提供针对加密流量攻击的检测与响应的闭环。