接在镜像 / 分光口后,把密文洪流折射成结构
安全团队面对的从来不是"没有数据",而是"有数据却看不懂"。Refract 填补的正是这道可见性赤字—— 纯被动、只读、不解密、不阻断,从加密流量中识别 VPN/代理/隧道 与 加密货币挖矿, 对每个源 IP 给出带证据、可复核、可导出的置信度判定,并自动开工单。
分层指纹 + 行为融合
IP情报 / 端口 / 握手指纹 / JA4+ / 全加密熵 + 矿池情报 / Stratum / 心跳节律,多层弱信号交叉印证——单层绝不定性。
一台 IP,双画像
隧道判定与挖矿判定并行、自动交叉关联——既翻墙又挖矿的主机一眼锁定。单平台胜过多个割裂工具。
取证级铁证
哈希链防篡改 + 决策可重核 + 握手原始包可复解析;一键导出 PDF / STIX 2.1 / MISP,供 SIEM/SOAR 消费。
分层指纹 + 融合推理
没有银弹。核心不是某一条规则,而是多层弱信号的概率融合——一种贝叶斯式的谦逊: 不押注任何单一特征,而让证据彼此印证、逼近真相。任何单层都不足以定性,多层交叉印证才形成可信判定。
隧道检测族 L1 – L5
已知 VPN/代理/数据中心出口,气隙离线 sideload
知名隧道端口、nDPI 非标端口风险
WireGuard / OpenVPN / IPSec — 命中即铁证
JA4+ 指纹、443 无 SNI、封装 TLS(TLS-in-TLS)
首包熵特征 (SS/VMess/Obfs4 类),校准后入融合
挖矿检测族 M1 – M5
对端 SNI/域名/IP 命中已知矿池
矿机常见端口,弱信号需联合
协议方法名命中 — 命中即铁证
加密 Stratum 的 SNI 指向矿池
长连接+低带宽+规律小消息,对加密同样有效
多个独立弱信号互相加强;确定性握手/签名直接拉满定性。概率信号在进入融合前必须经 Platt scaling / Isotonic 回归校准,把"原始置信度"映射为"真实概率"——说 80% 把握,就真是 80%。
score = 1 − ∏ ( 1 − confi × wi ) 诚实,胜过全知
安全行业不缺"全知全能"的宣传,缺的是敢于说"我看不见"的诚实。判定分四档,每一档都对应明确的证据强度。
不谎报盲区
VLESS+Reality、Cloudflare WARP、iCloud Private Relay 等被动视角下测不透的对象,最多标"疑似",并在报告中写明边界——绝不谎报"确认"。
每个结论都可被第三方复现
内容不可篡改(哈希链账本)· 决策可重核(钉死版本重跑)· 原始包可复解析(Wireshark 自验)。我们要的不是"相信我",而是"你来验"。
传统手段失效的地方,正是 Refract 起作用的地方
| 维度 | 传统手段 | Refract |
|---|---|---|
| 加密流量可见性 | 失效 | 分层指纹 + 行为融合 |
| 自建 / 混淆隧道 | 看不见 | L3握手 + L4封装TLS + L5熵 |
| 加密货币挖矿 | 靠主机 Agent | 纯网络侧识别(含加密心跳) |
| 多威胁关联 | 工具割裂 | 单平台 · 类别维度 · 自动关联 |
| 结论可信度 | 黑盒、易误报 | 校准概率 + 分级 + 诚实盲区 |
| 对业务影响 | 串接有风险 | 旁路零耦合 · 永不阻断 |
| 部署环境 | 多依赖外网 | CPU-only · 气隙可用 |
软件版,或开箱即用的 Appliance
软件版
装在接镜像 / 分光口的采集主机,Docker Compose 一键起栈。默认干净启动,不含演示数据。
Refract Appliance · Max R30 Edge
预装、即插即用、完全气隙可运行,情报 / 指纹库离线 sideload。
一架望远镜,看清自有基础设施上正在发生什么
合规稽核 (AUP)
发现绕过合规边界的 VPN/代理使用,为可接受使用策略执行提供铁证。
影子 IT 发现
识别未经审批的隧道与外联,收敛攻击面。
算力滥用治理
揪出 cryptojacking 与私接矿机,止住电费与硬件损耗。
加密盲区威胁狩猎
把加密盲区变成可观测面,为 SOC 提供高质量、带证据的线索。