本公開實施例提供一種加密惡意流量檢測方法、裝置、電子設(shè)備及計算機可讀存儲介質(zhì)，其特征在于，包括如下步驟：基于正常流量樣本和惡意流量樣本提取特征；將所述提取特征中適用于深度學習的第一特征輸入深度學習模型進行訓練，形成基于深度學習的深度檢測模型；將深度學習模型輸出的特征集輸入到機器學習模型，將所述提取特征中適用于機器學習的第二特征輸入到所述機器學習模型，形成基于機器學習的機器檢測模型；利用所述深度檢測模型和所述機器學習檢測模型，對真實網(wǎng)絡(luò)流量進行檢測，最終識別出加密惡意流量。本公開可以有效解決人工特征提取不全面的問題。同時可以更加有效地識別惡意加密流量，同時可以確保檢測模型在語義上是用戶可理解的。

技術(shù)領(lǐng)域

本公開涉及流量數(shù)據(jù)檢測技術(shù)領(lǐng)域，具體為一種任加密惡意流量檢測方法、裝置、電子設(shè)備及存儲介質(zhì)。

背景技術(shù)

網(wǎng)絡(luò)通信是當前幾乎所有企業(yè)和個人都會涉及的信息應用。隨著企業(yè)以及個人用戶對于信息安全的重視程度越來越高，當前網(wǎng)絡(luò)通信中加密技術(shù)的使用場景越來越多。即通過加密方法讓通信內(nèi)容無法被網(wǎng)絡(luò)上除通信雙方之外的其他用戶識別。

與此同時，各類惡意程序如網(wǎng)絡(luò)木馬、蠕蟲等在與控制端進行通信時，為了躲避網(wǎng)絡(luò)檢測設(shè)備的識別，往往也采用加密流量通信。這就造成了正常加密流量與惡意加密流量無法區(qū)分的問題，為網(wǎng)絡(luò)安全檢測帶來了很大的挑戰(zhàn)。

當前對于加密惡意流量的檢測主要采用有監(jiān)督機器學習的方法。通過惡意加密流量和正常加密流量的檢測模型，該檢測模型即可以用于判別加密流量是否為惡意流量。

現(xiàn)有方案存在的主要問題在于特征的定義需要有經(jīng)驗專家的參與，一次性定義全面的特征是一件難以完成的任務(wù)，而少量的特征集又難以獲得有效的檢測結(jié)果。因此，如何有效的分離惡意流量已經(jīng)成為一個亟待解決的技術(shù)問題。

發(fā)明內(nèi)容

本公開的目的在于提供一種任加密惡意流量檢測方法、裝置、電子設(shè)備及存儲介質(zhì)，能夠快速地檢測流量信息中的惡意加密流量。

第一方面，本公開提供一種加密惡意流量檢測方法，包括如下步驟：

S101：基于正常流量樣本和惡意流量樣本提取特征；

S102：將所述提取特征中適用于深度學習的第一特征輸入深度學習模型進行訓練，形成基于深度學習的深度檢測模型；

S103：將深度學習模型輸出的特征集輸入到機器學習模型，將所述提取特征中適用于機器學習的第二特征輸入到所述機器學習模型，形成基于機器學習的機器檢測模型；

S104：利用所述深度檢測模型和所述機器檢測模型，對真實網(wǎng)絡(luò)流量進行檢測，最終識別出惡意流量。

可選的，所述提取特征包括一致性特征、證書特征以及流行為特征。

可選的，所述第一特征為流行為特征；所述第二特征為一致性特征或證書特征。

可選的，所述步驟S102包括：

S1021：構(gòu)建訓練函數(shù)模型：

i_t＝σ(W_xiX_t+W_hih_t-1+W_ciC_t-1+b_i)

f_t＝σ(W_xfX_t+W_hfh_t-1+W_cfC_t-1+b_f)