有想法可以交流一下

  随着网络安全技术的迭代，流量全加密已经是一个必然的趋势。TLS 的普及，网络协议安全性的提高让流量特征分析越来越难做。流量加密技术不仅仅保护了用户的隐私，也保护了黑客程序的恶意流量。现在有一些基于机器学习的方案，实际上很多是 流量特征+行为模型+统计信息 丢给模型训练测试。加密流量模型一旦出现告警，现场安服人员无法通过查看流量或者日志直接研判。只能通过威胁情报的恶意 IP；告警服务器现场排查；资产识别+访问关系梳理统计等其它方法研判。研判一个告警或聚合事件很麻烦，所以加密流量检测的要求是，即使漏报，也尽量避免误报。即使只有百分之零点一的误报率，在客户现场海量的流量下，也容易告警量爆炸。

  既然加密流量这么难处理，那有什么解决办法呢？目前听说两个：1、下沉到终端，在终端中安装软件进行 HOOK，将解密后的流量日志上传到安全分析服务器。2、串进干路里面，进行统一解密分析。（先不考虑技术实现和性能问题）。