[发明专利]一种恶意加密流量检测方法及装置

说明书

本申请公开了一种恶意加密流量检测方法及装置。所述方法包括：在获取到加密流量时，获取加密流量对应的特征数据，其中，所述特征数据中不包含所述加密流量中的有效数据；基于所述特征数据判断所述加密流量中是否存在恶意加密流量；基于判断结果对所述加密流量进行相应处理。采用本申请所提供的方案，通过不包含加密流量中的有效数据的其他特征数据判断加密流量中是否存在恶意加密流量，从而在不打开加密流量的情况下，就能实现对加密流量的是否为恶意加密流量的检测，在保护个人隐私的基础上，提高了安全性。

技术领域

本申请涉及网络安全领域，特别涉及一种恶意加密流量检测方法及装置。

背景技术

网络流量加密的普及对于网络流量的检测和分析有重大影响。客户端和服务器之间的所有数据都可以被加密，这保证了金融交易和私人通信的安全，是我们社会的一个重要进步。然而网络流量加密的普及也带来了一些弊端，比如，恶意攻击者可以对和其部署的恶意软件之间的网络流量进行加密，传统的恶意流量检测技术无法对恶意加密流量进行检测，这导致在加密流量中发现恶意行为要比之前困难得多。

针对这种情况，现有技术中所采用的解决方案是在被攻击端安装TLS证书，通过“中间人”的方法来打开加密流量。但是这种解决方案会使“中间人”看到加密流量中的有效信息，不符合个人隐私保护的需求。因此，如何提供一种方案，在不需要打开加密流量的情况下，就能实现对加密流量的是否为恶意加密流量的检测，在保护个人隐私的基础上，提高安全性，是一亟待解决的技术问题。

发明内容

本申请实施例的目的在于提供一种恶意加密流量检测方法及装置。

为了解决上述技术问题，本申请的实施例采用了如下技术方案：一种恶意加密流量检测方法，包括：

在获取到加密流量时，获取加密流量对应的特征数据，其中，所述特征数据中不包含所述加密流量中的有效数据；

基于所述特征数据判断所述加密流量中是否存在恶意加密流量；

基于判断结果对所述加密流量进行相应处理。

本申请的有益效果在于：在获取到加密流量时，获取加密流量对应的特征数据，其中，所述特征数据中不包含所述加密流量中的有效数据，基于所述特征数据判断所述加密流量中是否存在恶意加密流量；基于判断结果对所述加密流量进行相应处理。通过不包含加密流量中的有效数据的其他特征数据判断加密流量中是否存在恶意加密流量，从而在不打开加密流量的情况下，就能实现对加密流量的是否为恶意加密流量的检测，在保护个人隐私的基础上，提高了安全性。

在一个实施例中，所述基于所述特征数据判断所述加密流量中是否存在恶意加密流量，包括：

将所述特征数据输入至加密流量检测模型中；

从所述加密流量检测模型的输出端接收是否存在恶意加密流量的判断结果。

在一个实施例中，所述将所述特征数据输入至加密流量检测模型中，包括：

对所述特征数据进行预处理，得到所述特征数据对应的第一特征向量；

将所述特征数据对应的第一特征向量输入至加密流量检测模型中。

在一个实施例中，所述获取加密流量中的特征数据，包括：

获取建立加密通道时的数据和和传输加密数据时的统计数据。

在一个实施例中，所述建立加密通道时的数据包括以下至少一种数据：

加密协议版本、可接受的密码、扩展列表、椭圆曲线密码和椭圆曲线密码格式；

所述传输加密数据时的统计数据包括以下至少一种数据：

连接数量、总发包大小、持续时间均值和持续时间标准差。