本發明提供了一種識別加密流量的方法、裝置及電子設備，其中，該方法包括：獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量；確定所述樣本網絡流的點特征和邊特征；基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成識別模型。通過本發明實施例提供的識別加密流量的方法、裝置及電子設備，提取了多流的特征，特征的表現性更好；采用圖論的概念，將多流的樣本網絡流表示為點+邊的結構，提取樣本網絡流的點特征和邊特征，能夠更加準確地表征樣本網絡流的特點；并且，通過統計的方式提取多流的邊特征，可以簡化訓練過程所需的特征，能夠更加有針對性地進行加密流量識別。

技術領域

本發明涉及加密流量識別技術領域，具體而言，涉及一種識別加密流量的方法、裝置、電子設備及計算機可讀存儲介質。

背景技術

流量加密技術能夠保障用戶上網的隱私安全和通信安全，越來越多的服務商和軟件能夠支持加密服務，全球互聯網加密通信已經成為趨勢。然而加密流量也給安全領域帶來了新的挑戰和威脅；例如，通過加密通道，用戶可以繞過檢測系統來隱藏自己的惡意操作或者非法行為。近年來，惡意程序的數量和復雜度持續增長，惡意加密流量的分類和識別成為當前惡意流量分析領域的研究重點。

惡意加密流量識別主要存在不解密情況下無法提取流量真實內容無法使用規則檢測，檢測出有效信息等問題；在不解密的情況下，提取出的流量特征所反應的信息也不夠全面，使得機器學習方法無法發揮出較好的效果。

發明內容

為解決現有存在的技術問題，本發明實施例提供一種識別加密流量的方法、裝置、電子設備及計算機可讀存儲介質。

第一方面，本發明實施例提供了一種識別加密流量的方法，包括：

獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量，所述樣本網絡流的標簽用于表示所述樣本網絡流正常或惡意；

確定所述樣本網絡流的點特征，所述點特征包括所述樣本網絡流的客戶端特征和服務端特征；

對所述樣本網絡流中多條加密流量對應的客戶端與服務端之間的行為特征進行統計，生成所述樣本網絡流的邊特征；

基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成能夠識別包含至少一條加密流量的網絡流是否惡意的識別模型。

第二方面，本發明實施例還提供了一種識別加密流量的裝置，包括：

獲取模塊，用于獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量，所述樣本網絡流的標簽用于表示所述樣本網絡流正常或惡意；

點特征模塊，用于確定所述樣本網絡流的點特征，所述點特征包括所述樣本網絡流的客戶端特征和服務端特征；

邊特征模塊，用于對所述樣本網絡流中多條加密流量對應的客戶端與服務端之間的行為特征進行統計，生成所述樣本網絡流的邊特征；

訓練模塊，用于基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成能夠識別包含至少一條加密流量的網絡流是否惡意的識別模型。

第三方面，本發明實施例提供了一種電子設備，包括總線、收發器、存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，所述收發器、所述存儲器和所述處理器通過所述總線相連，所述計算機程序被所述處理器執行時實現上述任意一項所述的識別加密流量的方法中的步驟。

第四方面，本發明實施例還提供了一種計算機可讀存儲介質，其上存儲有計算機程序，所述計算機程序被處理器執行時實現上述任意一項所述的識別加密流量的方法中的步驟。