# Refract / 洞流 — 产品白皮书

> **See through every tunnel. 让加密隧道无所遁形。**
> 数据中心被动旁路 · 加密流量可见性平台
>  © 润迅数据

---

## 摘要

企业 80% 以上的网络流量已经加密。加密在保护通信的同时，也亲手缔造了一片**安全盲区**：
VPN 翻墙、自建隧道、代理跳板、加密货币挖矿——这些行为如今几乎都藏在 TLS、QUIC、
WireGuard 等加密信道之内，对传统的 IP 信誉库、端口封禁、特征匹配近乎隐身。

**Refract（洞流）** 是一套部署在数据中心镜像/分光口上的**纯被动、只读、不阻断**的
加密流量可见性平台。它不解密、不改写、不干预任何一个数据包，仅凭**分层指纹与流量行为
的融合推理**，就能从加密洪流中识别出 VPN/代理/隧道使用与加密货币挖矿，并为每一个源 IP
给出**带证据、可复核、可导出**的置信度判定。

一句话：**Refract 看得见 IP 黑名单看不见的暗流，且每一个结论都拿得出铁证。**

---

## 一、市场背景：加密带来的"可见性赤字"

| 趋势 | 后果 |
|---|---|
| 流量全面加密（TLS 1.3 / QUIC / 加密 SNI） | DPI、签名匹配、明文审计大面积失效 |
| 隧道工具平民化（WireGuard、Trojan、VLESS+Reality、Shadowsocks） | 员工/主机绕过合规边界轻而易举 |
| 加密货币挖矿 / cryptojacking 泛滥 | 算力被盗用、电费与硬件损耗、合规与声誉风险 |
| 商用 VPN/代理出口 IP 海量且高频轮换 | 纯 IP 信誉库滞后、命中率持续走低 |

安全团队面对的不是"没有数据"，而是**有数据却看不懂**。镜像口上奔流的是海量密文，
传统手段只能看到"谁在和谁通信"，却答不出最关键的一问——**这条加密连接，到底在干什么？**

这就是 Refract 要填补的**可见性赤字**。

---

## 二、产品定位

Refract 是**被动旁路（out-of-band）网络可见性平台**，不是防火墙、不是 IPS、不是代理网关。

- **它不在数据通路上**：接在交换机镜像口 / 光分路器（TAP）后，与业务零耦合，**不引入
  单点故障、不增加时延、不可能误阻断业务**。
- **它只做"发现"，不做"处置"**：输出的是"在你自有基础设施上观测到某源 IP 疑似在做什么"
  的判定与证据；如何处置（限速、隔离、约谈、加白）由你的流程与人决定。
- **它面向合规与运营可见性**：AUP（可接受使用策略）稽核、影子 IT 发现、算力滥用治理、
  内网威胁狩猎的"望远镜"。

> 仅用于部署方**自有基础设施**的合规检测。纯被动、不阻断、不解密；概率判定须有人工复核闭环。

---

## 三、技术内核：分层指纹 + 融合推理

Refract 的核心不是某一条"银弹"规则，而是**多层弱信号的概率融合**——任何单层都不足以定性，
多层交叉印证才形成可信判定。这套方法论同时作用于两个并行的检测族：

### 3.1 隧道检测族（L1–L5）

| 层 | 信号 | 说明 |
|---|---|---|
| **L1 IP/ASN 情报** | 已知 VPN/代理/数据中心出口 | 可气隙离线 sideload，持续更新 |
| **L2 端口/协议** | 知名隧道端口、nDPI 非标端口风险 | 与 L1 合并为"基础设施"维度，避免过自信 |
| **L3 协议握手指纹（确定性）** | WireGuard / OpenVPN / IPSec 握手特征 | 命中即铁证，直接定 `确认隧道` |
| **L4 TLS+流量统计** | **JA4+** 客户端指纹、443 无 SNI、封装 TLS（TLS-in-TLS） | 对 Trojan/VLESS+TLS 等嵌套隧道有效 |
| **L5 全加密熵** | 首包熵特征（Shadowsocks/VMess/Obfs4 类） | 经校准后入融合，控制误报 |

### 3.2 挖矿检测族（M1–M5）

| 层 | 信号 | 说明 |
|---|---|---|
| **M1 矿池情报** | 对端 SNI/域名/IP 命中已知矿池 | 气隙可 sideload 矿池库 |
| **M2 Stratum 端口** | 矿机常见端口 | 弱信号，需联合 |
| **M3 明文 Stratum 签名（确定性）** | Stratum 协议方法名命中 | 命中即铁证 `确认挖矿`（气隙内可选开启） |
| **M4 TLS 指向矿池** | 加密 Stratum 的 SNI 指向矿池 | 中等置信 |
| **M5 矿池心跳节律** | 长连接 + 低带宽 + 规律小消息 | **对加密流量同样有效**，命中混淆挖矿 |

### 3.3 融合打分：noisy-OR + 校准

$$ \text{score} = 1 - \prod_i \left(1 - \text{confidence}_i \times \text{weight}_i\right) $$

- 多个独立弱信号互相加强；确定性握手/签名直接拉满定性。
- L4/L5/M5 等概率信号在进入融合前，**必须经 Platt scaling / Isotonic 回归校准**，
  把"原始置信度"映射为"真实概率"，让"80% 把握"名副其实。
- 平台内建**可靠性曲线 + 估算误报率（FPR）**反馈闭环，越用越准。

### 3.4 类别维度：一台 IP，两张画像

Refract 引入 **检测类别（Category）维度**：同一个源 IP 同时拥有**隧道判定**与**挖矿判定**两条
独立画像，互不干扰。这意味着——**一个既翻墙又挖矿的主机，会同时触发两类告警并自动交叉关联**。
这种"单平台、多威胁、自动关联"的能力，是分散的单点工具无法给到的。

---

## 四、诚实，是这款产品的底色

安全行业不缺"全知全能"的宣传，缺的是**敢于说"我看不到"的诚实**。Refract 把诚实写进了产品：

- **判定分级**：`确认` / `高度疑似` / `疑似` / `正常` 四档，每一档都对应明确的证据强度。
  确定性握手+原始包切片 = 铁证；概率信号 = 校准后置信度，需人工复核。
- **Known-unknowns（已知的未知）**：VLESS+Reality+Vision、Cloudflare WARP（MASQUE-over-QUIC）、
  iCloud Private Relay、各类云函数反代——在纯被动视角下**不可确证**，Refract **绝不谎报为"确认"**，
  最多标记为"疑似"，并在报告中明确告知边界。
- **绝不单层定性**：任何单一信号都不足以处置，必须多层融合 + 人工复核闭环。

**这种克制，恰恰是结论可信的前提。** 一个肯承认盲区的系统，它给出的"确认"才值得你采信。

---

## 五、铁证链：每个发现都可被第三方独立复现

Refract 把"取证级可信"做成了产品能力，而非事后补救：

1. **内容不可篡改**：每个发现生成规范化卷宗 + SHA-256；只追加哈希链账本，任何篡改/删除即被发现
   （数据库触发器禁止 UPDATE/DELETE）。
2. **决策可重核**：钉死引擎版本与命中信号，可一键重跑打分、复现完全相同的判定。
3. **原始包可复解析**：握手 PCAP 切片自包含留存，可用 Wireshark / Zeek 重新打开核对真实握手。
4. **可导出对接**：一键导出 **PDF 取证报告**、**STIX 2.1 / MISP** 威胁情报（供 SIEM/SOAR 消费，
   且**不含任何阻断指令**，恪守"只发现不阻断"）。

> 可信三件套——内容不可篡改、决策可重核、原始包可复解析——让 Refract 的每一个"确认"都
> 经得起审计、合规、甚至法务的推敲。

---

## 六、部署形态

| 形态 | 场景 |
|---|---|
| **软件版** | 装在接镜像/分光口的采集主机，Docker Compose 一键起栈 |
| **Refract Appliance（Max R30 Edge）** | 预装、即插即用、**完全气隙可运行**，情报/指纹库离线 sideload |

**关键特性**：
- **CPU 型负载，无需 GPU**——服务器规格随镜像线速而定，不随"AI"而定，成本可控。
- **气隙友好**——核心检测不依赖外网，本地密钥、本地情报，适配涉密/隔离网环境。
- **上线即加固（fail-closed）**——生产模式下默认密钥/弱口令/通配 CORS 任一存在则**拒绝启动**，
  从源头杜绝"带病上线"。
- **被动只读硬约束**——架构层面保证永不阻断业务。

---

## 七、为什么是 Refract

| 维度 | 传统手段 | Refract |
|---|---|---|
| 加密流量可见性 | 失效 | 分层指纹 + 行为融合 |
| 自建/混淆隧道 | 看不见 | L3 握手 + L4 封装 TLS + L5 熵 |
| 加密货币挖矿 | 靠主机 agent | 纯网络侧识别（含加密心跳） |
| 多威胁关联 | 工具割裂 | 单平台、类别维度、自动交叉关联 |
| 结论可信度 | 黑盒、易误报 | 校准概率 + 分级 + 诚实盲区 |
| 取证/合规 | 事后拼凑 | 哈希链铁证、可复现、可导出 |
| 对业务影响 | 串接有风险 | 旁路零耦合、永不阻断 |
| 部署环境 | 多依赖外网 | CPU-only、气隙可用 |

---

## 八、典型价值场景

- **合规稽核**：发现绕过合规边界的 VPN/代理使用，为 AUP 执行提供铁证。
- **影子 IT 治理**：识别未经审批的隧道与外联，收敛攻击面。
- **算力滥用治理**：揪出 cryptojacking 与私接矿机，止住电费与硬件损耗。
- **威胁狩猎**：把加密盲区变成可观测面，为 SOC 提供高质量、带证据的线索。

---

## 九、结语

加密是大势，盲区却不该是宿命。Refract 选择了一条更难也更诚实的路——
**不解密、不阻断，只用指纹与行为，把加密隧道里的真相，安静而确凿地呈现出来。**

**让加密隧道无所遁形。**

---

*本白皮书所述能力以纯被动只读为前提；概率判定须配合人工复核闭环使用。Refract / 洞流 © 润迅数据。*