SuperMITM测试-无需替换证书实现流量扫描

gsgaosheng

396805331 发表于 2025-2-22 06:58
感觉机器学习检测在个人电脑上，并不太适用。
你看这个公众号里面检测的是：
1.DNS加密隧道

文章里提到的识别方法是基于已知传输协议的前提下。
如果流量进行协议伪装（数据包伪装），把它包装成超出识别范围外的协议，文章的识别模式必挂。

文章的阐释角度相较于传统基于特征的安全防御，只是增加了指定学习条件机器学习的辅助，本质上还是基于特征，况且机器学习只是在指定学习条件下提高特征的收集效率，并未提高特征学习的横向广度。

家用环境主要以软件形式进行基于安全特征流量扫描。基于协议特征进行的扫描本身需要更多的算力资源，该方式多以专用安全硬件（附带专用软件）实现。

gsgaosheng

wywt123 发表于 2025-2-22 00:17
不知道为啥，有些网址还是会莫名其妙变回Kaspersky Anti-Virus Personal Root Certificate，有些网址还是原 ...

可能得对比下加密方式（指SSL、TLS版本号）以及签名算法。

如果是访问走加密DNS或者海外冲浪用的协议，看看卡巴是否仍然起效。

Fadouse

实在不理解是怎么做到的（唯一能想到的就是机学了）
问了下grok 3的deepsearch:

机器学习与加密流量分析
网络安全领域最近的进展包括利用机器学习分析加密流量。例如，研究论文“Encrypted Network Traffic Analysis and Classification Utilizing Machine Learning”指出，通过分析流量特征（如包大小、时间间隔）可以分类应用类型或检测异常（Encrypted Network Traffic Analysis and Classification Utilizing Machine Learning）。然而，卡巴斯基的官方文档未明确提到将其应用于取代MITM的流量扫描，可能是因为此类方法精度较低，难以检测具体恶意内容。
*论文地址 https://pmc.ncbi.nlm.nih.gov/articles/PMC11175201/

firewave

我安装了adguard 火狐显示证书是adguard的也能吗？

钟哥

wywt123 发表于 2025-2-21 19:51
https://eap.kaspersky.com/topic/ ... n-of-kaspersky-mr20

看到啦，但是我还有AdGuard，去掉一层还 ...

安装了AdGuard证书？

a8855942

00006666 发表于 2025-2-21 15:28
这才正确，本来就不应该默认用伪证书，兼容性问题一般都是伪证书来的。

我也不太喜欢这个，我记得COMODO也有证书

Zeusx

wywt123 发表于 2025-2-22 00:17
不知道为啥，有些网址还是会莫名其妙变回Kaspersky Anti-Virus Personal Root Certificate，有些网址还是原 ...

我的修改注册表重启电脑后百度会直接挂掉

1723319318

这个是不是付费版的功能？要升级到哪个版本才能用这个呢？

dongwenqi

1723319318 发表于 2025-2-23 05:18
这个是不是付费版的功能？要升级到哪个版本才能用这个呢？

标准版，加强版，优选版，企业版,KSOS