[发明专利]一种恶意加密流量检测方法及装置

权利要求书

1.一种恶意加密流量检测方法，其特征在于，包括：

在获取到加密流量时，获取加密流量对应的特征数据，其中，所述特征数据中不包含所述加密流量中的有效数据；

基于所述特征数据判断所述加密流量中是否存在恶意加密流量；

基于判断结果对所述加密流量进行相应处理。

2.如权利要求1所述的方法，其特征在于，所述基于所述特征数据判断所述加密流量中是否存在恶意加密流量，包括：

将所述特征数据输入至加密流量检测模型中；

从所述加密流量检测模型的输出端接收是否存在恶意加密流量的判断结果。

3.如权利要求2所述的方法，其特征在于，所述将所述特征数据输入至加密流量检测模型中，包括：

对所述特征数据进行预处理，得到所述特征数据对应的第一特征向量；

将所述特征数据对应的第一特征向量输入至加密流量检测模型中。

4.如权利要求1所述的方法，其特征在于，所述获取加密流量中的特征数据，包括：

获取建立加密通道时的数据和和传输加密数据时的统计数据。

5.如权利要求4所述的方法，其特征在于，所述建立加密通道时的数据包括以下至少一种数据：

加密协议版本、可接受的密码、扩展列表、椭圆曲线密码和椭圆曲线密码格式；

所述传输加密数据时的统计数据包括以下至少一种数据：

连接数量、总发包大小、持续时间均值和持续时间标准差。

6.如权利要求1所述的方法，其特征在于，基于判断结果对所述加密流量进行相应处理，包括：

当所述加密流量中存在恶意加密流量时，删除所述加密流量，并向所述加密流量的发送方发出提示信息；

当所述加密流量中不存在恶意加密数据时，将所述加密流量发送至所述加密流量的接收方。

7.如权利要求2-6任意一项所述的方法，其特征在于，所述加密流量检测模型通过以下步骤进行训练：

在安全沙盒中运行多种类型的软件，所述多种类型软件包括恶意软件和良性软件；

将所述多种类型的软件对应的加密流量进行特征提取以得到所述加密流量对应的第二特征向量；

将所述第二特征向量输入至所述加密流量检测模型中进行所述加密流量检测模型的预训练。

8.一种恶意加密流量检测装置，其特征在于，包括：

获取模块，用于在获取到加密流量时，获取加密流量对应的特征数据，其中，所述特征数据中不包含所述加密流量中的有效数据；

判断模块，用于基于所述特征数据判断所述加密流量中是否存在恶意加密流量；

处理模块，用于基于判断结果对所述加密流量进行相应处理。

9.如权利要求8所述的装置，其特征在于，所述判断模块，包括：

输入子模块，用于将所述特征数据输入至加密流量检测模型中；

接收子模块，用于从所述加密流量检测模型的输出端接收是否存在恶意加密流量的判断结果。

10.如权利要求9所述的装置，其特征在于，所述输入子模块用于：

对所述特征数据进行预处理，得到所述特征数据对应的第一特征向量；

将所述特征数据对应的第一特征向量输入至加密流量检测模型中。