本發明實施例提供了一種數據流檢測方法、裝置及電子設備。其中，方法包括：根據握手階段傳輸的握手報文中所攜帶的信息，獲取后續待傳輸的加密數據報文的流量模型特征，所述流量模型特征用于表示所述待傳輸的加密數據報文的傳輸特征；將所述加密數據報文的流量模型特征輸入預先建立的數據流分類模型進行分類，得到所述加密數據報文的分類結果，所述分類結果用于表示所述加密數據報文是否包含惡意數據。可以在不解密加密數據報文的前提下，實現對加密數據報文中是否包含惡意數據的檢測。

技術領域

本發明涉及數據傳輸技術領域，特別是涉及一種數據流檢測方法、裝置及電子設備。

背景技術

出于網絡安全的考慮，在一些應用場景中，監管機構可以對數據流進行檢測，以確定數據流中是否存在病毒、惡意腳本、惡意攻擊報文等可能對數據安全造成影響的數據(下文稱惡意數據)。

相關技術中，可以對數據流進行解析，得到數據流所傳輸的數據，將該數據的數據特征與惡意數據的數據特征進行匹配，以確定所傳輸的數據中是否包含惡意數據。

但是，隨著如傳輸層安全(Transport?Layer?Security，TLS)協議等加密傳輸技術的普及，加密數據報文被廣泛應用于數據傳輸。加密數據報文中數據是以密文的形式傳輸的，因此對于不知道密鑰的第三方機構，難以對數據報文進行解密，因此可能無法得到加密數據報文所傳輸的數據，故相關技術無法有效對加密的數據報文進行檢測。

發明內容

本發明實施例的目的在于提供一種數據流檢測方法、裝置及電子設備，以實現在不對數據流進行解密的前提下，實現對數據流中是否包含惡意數據的檢測。具體技術方案如下：

在本發明的第一方面，提供了一種數據流檢測方法，所述方法包括：

根據握手階段傳輸的握手報文中所攜帶的信息，獲取后續待傳輸的加密數據報文的流量模型特征，所述流量模型特征用于表示所述待傳輸的加密數據報文的傳輸特征；

將所述加密數據報文的流量模型特征輸入預先建立的數據流分類模型進行分類，得到所述加密數據報文的分類結果，所述分類結果用于表示所述加密數據報文是否包含惡意數據。

結合第一方面，在一種可能的實施例中，流量模型特征包括以下特征中的一個或多個特征：

SPLT特征，用于表示所述待傳輸的加密數據報文的有效載荷長度和到達間隔，所述到達間隔用于表示加密數據報文與該加密數據報文的前一個數據報文之間的到達時間的間隔；

BD特征，所述BD特征為協商加密參數的過程中各字節值的分布狀況；

TLS特征，用于表示后續待傳輸的加密數據報文所使用的安全傳輸層協議中的配置參數；

IDP特征，用于表示握手報文按時間先后順序的第一個握手報文中存在的數據元素。

結合第一方面，在一種可能的實施例中，所述數據流分類模型預先通過以下方式訓練得到：

獲取第一樣本數據流的流量模型特征；

將所述第一樣本數據流的流量模型特征輸入至初始分類模型，得到所述第一樣本數據流的分類結果；

根據所述分類結果，以及所述第一樣本數據流標注的數據流類別，構建損失函數；

利用梯度下降算法，基于所述損失函數，調整所述初始分類模型中的模型參數，得到所述數據流分類模型。

結合第一方面，在一種可能的實施例中，所述數據流分類模型在完成訓練后通過以下方式進行測試：

獲取第二樣本數據流的流量模型特征，所述第二樣本數據流包括正常樣本數據流，和/或異常樣本數據流；