4.如權利要求1所述的加密流量分析特征提取方法，其特征在于，所述加密流量分析特征提取方法通過日志及調(diào)用鏈數(shù)據(jù)深度分析不同惡意家族類型的加密流量，找出各節(jié)點的流量特征，形成最終的數(shù)據(jù)集；依據(jù)日志分類將特征分為：流特征、SSL/TLS特征、證書特征和其他特征，具體包括：

(1)流特征：會話持續(xù)時間、數(shù)據(jù)包數(shù)量、不同方向的數(shù)據(jù)包數(shù)量、數(shù)據(jù)包時間間隔統(tǒng)計量、不同方向的數(shù)據(jù)包時間間隔統(tǒng)計量、包長統(tǒng)計量、不同方向的包長統(tǒng)計量、載荷長度統(tǒng)計量、不同方向的載荷長度統(tǒng)計量、總字節(jié)數(shù)、不同方向的總字節(jié)數(shù)，以及相應的比例；

(2)SSL/TLS特征：加密協(xié)議類型、SSL/TLS版本號、TLS使用的密碼套件、TLS拓展長度、TLS拓展組件類型、TLS壓縮方法、加密數(shù)據(jù)包統(tǒng)計量、是否包含SNI、SNI所占包的比例、SNI是IP情況下所占包的比例；

(3)證書特征：證書公鑰的統(tǒng)計量、證書有效值的統(tǒng)計量、有效證書所占證書的比例、證書的簽發(fā)者、證書使用的簽名算法、證書支持的域名信息、證書的使用者，證書是否自簽名；

(4)其他特征：加密數(shù)據(jù)包統(tǒng)計量占總數(shù)據(jù)包的比例，SSL/TLS連接時長所占數(shù)據(jù)流持續(xù)時長的比例；

所述統(tǒng)計量包括平均值、方差、最大值、最小值，不同方向包括從源地址到目的地址、從目的地址到源地址不同的方向。