(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111552132.1 (22)申请日 2021.12.17 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杨鹤　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 恶意加密流量检测方法、 装置、 电子设备及 存储介质 (57)摘要 本申请提供一种恶意加密流量检测方法、 装 置、 电子设备及存储介质， 涉及安全技术领域。 该 方法通过EDR系统中的流量分析引擎提取待检测 加密流量的流量特征， 由于该流量特征是由流量 分析引擎中的神经网络模型以及特征工程算子 所提取的， 所以能够有效地提取待检测加密流量 中深层和浅层流量特征， 相比于传统检测方法只 能基于浅层特征进行检测的方式， 本申请中可以 提取更多更有效的流量特征来进行检测， 以提高 恶意加密流量检测的准确性， 进而提高网络系统 的安全性。 权利要求书2页 说明书11页 附图3页 CN 114268484 A 2022.04.01 CN 114268484 A 1.一种恶意加密流量检测方法， 其特征在于， 应用于包含端点检测与响应EDR系统 的安 全设备， 所述方法包括： 通过所述EDR系统中的流量分析引擎提取待检测加密流量的流量特征， 其中， 所述流量 分析引擎中部署有神经网络模型以及特征工程算子， 所述流量特征包括所述神经网络模型 以及所述特 征工程算子所提取的特 征； 通过所述EDR系统中的流量检测引擎基于所述流量特征检测所述待检测加密流量是否 为恶意加密流 量， 并获得检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述流量检测引擎中部署有机器学习模 型， 所述机器学习模型用于基于所述流量特征检测所述待检测加密流量是否为恶意加密流 量， 并输出检测结果。 3.根据权利要求2所述的方法， 其特征在于， 所述机器学习模型为随机森林算法模型， 所述随机森林算法模型包括多个决策树， 所述流量特征作为每个决策树的输入， 所述检测 结果为对每个决策树输出的结果进行投票确定的。 4.根据权利要求1所述的方法， 其特征在于， 所述神经网络模型为卷积神经网络模型， 所述通过所述EDR系统中的流 量分析引擎 提取待检测 加密流量的流量特征， 包括： 通过所述流量分析引擎中的卷积神经网络模型提取所述待检测加密流量的深层流量 特征； 通过所述流量分析引擎中的特 征工程算子提取 所述待检测 加密流量的流量统计特 征； 其中， 所述 流量特征包括所述深层流 量特征和所述 流量统计特 征。 5.根据权利要求4所述的方法， 其特征在于， 所述流量统计特征包括以下至少一种： 入 方向字节数、 出方向字节数、 入方向包数、 出方向包数、 源/目的端口、 会话时长、 协议头信 息。 6.根据权利要求1所述的方法， 其特 征在于， 获得检测结果后， 所述方法还 包括： 若所述检测结果为所述待检测加密流量为恶意加密流量， 则通过所述EDR系统中的回 溯分析模块分析获得所述待检测加密流量的端点信息、 被攻击对象、 攻击步骤、 攻击范围和 破坏程度中的至少一种信息 。 7.根据权利要求1 ‑6任一所述的方法， 其特征在于， 所述流量检测引擎中部署有机器学 习模型， 所述机器学习模型用于基于所述流量特征检测所述待检测加密流量是否为恶意加 密流量， 并输出检测结果， 所述方法还 包括： 通过所述EDR系统中的威胁情 报引擎爬取恶意代码 样本； 通过所述EDR系统中的分类算法对所述恶意代码样本进行家族分类， 并将分类的恶意 代码样本存入所述EDR系统中的恶意代码家族库中； 通过所述EDR系统中的沙箱运行恶意代码家族库中的恶意代码样本， 生成恶意加密流 量样本； 通过所述EDR系统中的流 量探针从外 部获取正常加密流 量样本； 通过所述流量分析引擎提取所述恶意加密流量样本和所述正常加密流量样本的样本 流量特征； 利用所述样本流量特征对所述机器学习模型进行训练， 在训练完成后， 获得训练好的 机器学习模型。权　利　要　求　书 1/2 页 2 CN 114268484 A 28.一种恶意加密流量检测装置， 其特征在于， 运行于包含端点检测与响应EDR系统 的安 全设备， 所述装置包括： 特征提取模块， 用于通过所述EDR系统中的流量分析引擎提取待检测加密流量的流量 特征， 其中， 所述流量分析引擎中部署有神经网络模型以及特征工程算子， 所述流量特征包 括所述神经网络模型以及所述特 征工程算子所提取的特 征； 流量检测模块， 用于通过所述EDR系统中的流量检测引擎基于所述流量特征检测所述 待检测加密流量是否为恶意加密流 量， 并获得检测结果。 9.一种电子设备， 其特征在于， 包括处理器以及存储器， 所述存储器存储有计算机可读 取指令， 当所述计算机可读取指 令由所述处理器执行时， 运行如权利要求 1‑7任一所述的方 法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时运行如权利要求1 ‑7任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114268484 A 3