https://www.youtube.com/watch?v=qUAY9nUOpoo&feature=youtu.be&t=368s

• HASSH可以輸出ssh客戶端和服務器的指紋，正如JA3提取和識別客戶端和服務器之間的TLS協(xié)商的指紋。

• Corelight research team通過ssh握手，網(wǎng)絡流，時間特征，報文大小，和統(tǒng)計學規(guī)律來推斷ssh內(nèi)部數(shù)據(jù)

• Corelight的系統(tǒng)可以推斷出ssh文件上傳/下載，key stroke，端口掃描，暴力破解，認證繞過等動作。

• Corelight系統(tǒng)提供以上這些功能，但開源zeek和其packages沒有該推斷的功能。

• 業(yè)界通過ja3和ja3s來識別勒索軟件的橫向通信，但目前malware大多通過custom protocol進行通信，他們甚至不需要認證握手，直接交流。

• Corelight提出并實現(xiàn)了兩種加密檢測方式

在標準端口的明文流量（如443端口的明文）
不握手直接通信的加密流量