[发明专利]加密流量检测方法及装置、计算机可读存储介质、电子设备

权利要求书

1.一种加密流量检测方法，其特征在于，所述加密流量检测方法包括：

从目标文件中提取网络会话的特征作为训练样本，构建训练样本集，其中，所述训练样本中的数据包括至少两种数据类型的数据；

对所述训练样本集中的训练样本进行预处理，以将预定训练样本的数据类型设定为预定算法能够识别的数据类型，并获得预处理后的训练样本集，其中，所述预定训练样本包括从目标文件中提取出之前数据类型为预定算法能够识别的数据类型的网络会话的特征，所述预定算法能够识别至少两种数据类型的特征；

利用预处理后的训练样本集，采用所述预定算法构建加密流量检测模型；

使用构建的加密流量检测模型对待测对象进行检测；

其中，所述使用构建的加密流量检测模型对所述待测对象进行检测包括：

提取待测对象的特征；

对所述提取的待测对象的特征进行预处理，将提取前数据类型为预定算法能够识别的数据类型的所述提取的待测对象的特征的数据类型，设定为所述预定算法能够识别的数据类型；

将所述预处理的所述提取的待测对象的特征输入所述加密流量检测模型进行识别，以确定所述待测对象是否为恶意流量；

其中，所述网络会话的特征包括会话连接特征、TLS/SSL会话特征、X509证书特征和DNS特征。

2.根据权利要求1所述的加密流量检测方法，其特征在于，所述训练样本中的数据包括数值型数据和分类数据，所述预定算法能够识别和处理所述数值型数据和分类数据。

3.根据权利要求2所述的加密流量检测方法，其特征在于，所述预定算法包括LightGBM算法或者Catboost算法。

4.根据权利要求1所述的加密流量检测方法，其特征在于，所述目标文件包括静态的数据包文件和/或实时的网络流量文件。

5.根据权利要求1所述的加密流量检测方法，其特征在于，所述网络会话的TLS/SSL会话包含TLS/SSL握手和证书信息。

6.根据权利要求1至5中任意一项所述的加密流量检测方法，其特征在于，构建所述加密流量检测模型包括：

利用所述预处理后的训练样本集，寻找所述预定算法的最优超参数；

采用所述最优超参数，利用所述预处理后的训练样本集，使用所述预定算法进行训练，获取所述加密流量检测模型。

7.一种加密流量检测装置，其特征在于，所述加密流量检测装置包括：

特征提取模块，所述特征提取模块用于从目标文件中提取网络会话的特征作为训练样本，构建训练样本集，其中，所述训练样本中的数据包括至少两种数据类型的数据；

特征数据处理模块，所述特征数据处理模块用于对所述训练样本集中的训练样本进行预处理，以将预定训练样本的数据类型设定为预定算法能够识别的数据类型，并获得预处理后的训练样本集，其中，所述预定训练样本包括从目标文件中提取出之前数据类型为预定算法能够识别的数据类型的网络会话的特征，所述预定算法能够识别至少两种数据类型的特征；

模型构建模块，所述模型构建模块用于利用预处理后的训练样本集，采用所述预定算法构建加密流量检测模型；

加密流量检测模块，所述加密流量检测模块用于使用构建的加密流量检测模型对待测对象进行检测；

其中，所述特征提取模块还用于，提取待测对象的特征；

所述特征数据处理模块还用于，对所述提取的待测对象的特征进行预处理，将提取前数据类型为预定算法能够识别的数据类型的所述提取的待测对象的特征的数据类型，设定为所述预定算法能够识别的数据类型；

所述加密流量检测模块还用于，将所述预处理的所述提取的待测对象的特征输入所述加密流量检测模型进行识别，以确定所述待测对象是否为恶意流量；

其中，所述网络会话的特征包括会话连接特征、TLS/SSL会话特征、X509证书特征和DNS特征。

8.根据权利要求7所述的加密流量检测装置，其特征在于，所述训练样本中的数据包括数值型数据和分类数据，所述预定算法能够识别和处理所述数值型数据和分类数据。