[发明专利]一种加密流量检测方法、系统及相关装置

权利要求书

1.一种加密流量检测方法，其特征在于，包括：

采集加密流量；

对所述加密流量进行解析，得到所述加密流量的流量特征；

根据所述流量特征包含的数据类型采用相应类型的特征处理，得到输入数据；

利用CNN模型提取所述输入数据的特征数据；

将所述特征数据作为LSTM算法的输入，训练得到加密流量检测模型；

利用所述加密流量检测模型对所述加密流量和已知恶意流量数据进行关联分析，得到所述加密流量的检测结果；

其中，利用所述加密流量检测模型对所述加密流量和已知恶意流量数据进行关联分析之前，还包括：

建立已知恶意流量的知识图谱，并从所述知识图谱中获取所述已知恶意流量数据；

其中，建立已知恶意流量的知识图谱包括：

采集并分析已知恶意流量数据，得到特征信息；所述特征信息包括流特征、包特征、证书特征和时间特征中至少一种；

对包含所述特征信息的恶意流量数据进行加密流量分类，得到恶意流量特征；

根据所述恶意流量特征建立所述知识图谱。

2.根据权利要求1所述的加密流量检测方法，其特征在于，根据所述流量特征包含的数据类型采用相应类型的特征处理包括：

对数值型数据的流量特征进行归一化处理和标准化处理；

对字符型数据的流量特征采用onehot编码进行处理；

对包含字符串说明的流量特征，进行分词处理；

对布尔型的流量特征，采用独热编码进行处理。

3.根据权利要求1所述的加密流量检测方法，其特征在于，采集并分析已知恶意流量数据，得到特征信息之后，还包括：

将包含所述特征信息的已知恶意流量数据存储至预设存储中心。

4.根据权利要求1所述的加密流量检测方法，其特征在于，根据所述恶意流量特征建立所述知识图谱之后，还包括：

当接收到新恶意流量时，对所述新恶意流量进行特征分析，得到新恶意流量特征；

在所述知识图谱中构建所述新恶意流量对应的节点，用于更新所述知识图谱。

5.根据权利要求1所述的加密流量检测方法，其特征在于，所述检测结果包括所述加密流量与已知恶意流量的相似内容和相似度。

6.一种加密流量检测系统，其特征在于，包括：

采集模块，用于采集加密流量；

解析模块，用于对所述加密流量进行解析，得到所述加密流量的流量特征；

特征处理模块，用于根据所述流量特征包含的数据类型采用相应类型的特征处理，得到输入数据；

特征提取模块，用于利用CNN模型提取所述输入数据的特征数据；

模型训练模块，用于将所述特征数据作为LSTM算法的输入，训练得到加密流量检测模型；

流量检测模块，用于利用所述加密流量检测模型对所述加密流量和已知恶意流量数据进行关联分析，得到所述加密流量的检测结果；

图谱建立模块，用于建立已知恶意流量的知识图谱，并从所述知识图谱中获取所述已知恶意流量数据；

其中，图谱建立模块为用于执行如下步骤的模块：

采集并分析已知恶意流量数据，得到特征信息；所述特征信息包括流特征、包特征、证书特征和时间特征中至少一种；

对包含所述特征信息的恶意流量数据进行加密流量分类，得到恶意流量特征；

根据所述恶意流量特征建立所述知识图谱。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的加密流量检测方法的步骤。

8.一种服务器，其特征在于，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如权利要求1-5任一项所述的加密流量检测方法的步骤。