(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211070466.X (22)申请日 2022.09.02 (71)申请人 上海兴容信息技 术有限公司 地址 200336 上海市长 宁区延安西路2 299 号10G27室 (72)发明人 卢国鸣　 (74)专利代理 机构 成都七星天知识产权代理有 限公司 5125 3 专利代理师 杨永梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种加密流量中可疑流量的判 断方法和系 统 (57)摘要 本说明书实施例提供一种加密流量中可疑 流量的判断方法和系统， 该方法包括： 采集待测 加密流量， 提取待测加密流量的加密流量特征； 其中， 加密流量特征包括第一流量特征， 第一流 量特征包括访问特征信息、 协议特征信息以及传 递特征信息； 基于待测加密流量的加密流量特 征， 确定待测加密流量的流量类型， 流量类型包 括正常流量和可疑流量， 可疑流量用于待测加密 流量的后续 解密分析。 权利要求书1页 说明书11页 附图5页 CN 115514537 A 2022.12.23 CN 115514537 A 1.一种加密流 量中可疑流 量的判断方法， 其特 征在于， 所述方法包括： 采集待测加密流量， 提取所述待测加密流量的加密流量特征； 其中， 所述加密流量特征 包括第一流量特征， 所述第一流量特征包括访问特征信息、 协议特征信息以及传递特征信 息； 基于所述待测加密流量的所述加密流量特征， 确定所述待测加密流量的流量类型， 所 述流量类型包括 正常流量和所述可疑流 量； 响应于所述待测加密流量的所述流量类型为所述可疑流量， 通过解密DPI模块对所述 待测加密流量进行后续 解密分析。 2.如权利要求1所述的方法， 其特征在于， 所述加密流量特征还包括第二流量特征， 所 述第二流量特征通过关系图谱获取。 3.如权利要求1所述的方法， 其特征在于， 所述基于所述待测加密流量的所述加密流量 特征， 确定所述待测 加密流量的所述 流量类型， 包括： 基于可疑流量识别模型对所述待测加密流量的所述加密流量特征进行处理， 确定所述 待测加密流量的所述 流量类型， 所述可疑流 量识别模型为机器学习模型。 4.如权利要求3所述的方法， 其特征在于， 所述可疑流量识别模型的输入还包括字节分 布概率向量的参 考恶意值， 所述参考恶意值基于所述关系图谱获得。 5.一种加密流 量中可疑流 量的判断系统， 其特 征在于， 所述系统包括： 流量特征获取模块， 用于采集待测加密流量， 提取所述待测加密流量的加密流量特征； 其中， 所述加密流量特征包括第一流量特征， 所述第一流量特征包括访问特征信息、 协 议特 征信息以及 传递特征信息； 流量类型确定模块， 用于基于所述待测加密流量的所述加密流量特征， 确定所述待测 加密流量的流量类型， 所述 流量类型包括 正常流量和所述可疑流 量； 解密DPI模块， 响应于所述待测加密流量的所述流量类型为所述可疑流量， 对所述待测 加密流量进行后续 解密分析。 6.如权利要求5所述的系统， 其特征在于， 所述加密流量特征还包括第二流量特征， 所 述第二流量特征通过关系图谱获取。 7.如权利要求5所述的系统， 所述 流量类型确定模块进一 步用于： 基于可疑流量识别模型对所述待测加密流量的所述加密流量特征进行处理， 确定所述 待测加密流量的所述 流量类型， 所述可疑流 量识别模型为机器学习模型。 8.如权利要求7所述的系统， 其特征在于， 所述可疑流量识别模型的输入还包括字节分 布概率向量的参 考恶意值， 所述参考恶意值基于所述关系图谱获得。 9.一种加密流量中可疑流量的判断装置， 所述装置包括至少一个处理器以及至少一个 存储器； 所述至少一个存储器用于存储计算机指令； 所述至少一个处理器用于执行所述计 算机指令中的至少部分指令以实现如权利要求1～4中任意 一项所述的方法。 10.一种计算机可读存储介质， 所述存储介质存储计算机指令， 当所述计算机指令被处 理器执行时实现如权利要求1～4任意 一项所述的方法。权　利　要　求　书 1/1 页 2 CN 115514537 A 2一种加密流量中可疑流量的判断方 法和系统 技术领域 [0001]本说明书涉及网络安全领域， 特别涉及一种加密流量中可疑流量的判断方法和系 统。 背景技术 [0002]随着互联 网的发展， 人们的隐私意识也正在提高， 因此， 人们对于流量加密的需求 不断增长。 然而， 加密流量在保护了隐私的同时， 也为恶意流量的隐藏提供了便利。 加密恶 意流量中隐藏了许多已知或未知的威胁。 需要提供一种能够提升网络安全防护能力的加密 流量中可疑流 量的判断方法。 发明内容 [0003]本说明书一个或多个实施例提供一种加密流量中可疑流量的判断方法。 所述方法 包括： 采集待测加密流量， 提取所述待测加密流量的加密流量特征； 其中， 所述加密流量特 征包括第一流量特征， 所述第一流量特征包括访问特征信息、 协议特征信息以及传递特征 信息； 基于所述待测加密流量的所述加密流量特征， 确定所述待测加密流量的流量类型， 所 述流量类型包括正常流量和所述可疑流量， 所述可疑流量用于所述待测加密流量的后续解 密分析。 [0004]本说明书一个或多个实施例提供一种加密流量中可疑流量的判断系统， 所述系统 包括： 流量采集模块， 用于采集待测加密流量， 提取所述待测加密流量的加密流量特征； 其 中， 所述加密流量特征包括第一流量特征， 所述第一流量特征包括访问特征信息、 协议特征 信息以及传递特征信息； 类型确定模块， 用于基于所述待测加密流量的所述加密流量特征， 确定所述待测加密流量的流量类型， 所述流量类型包括正常流量和所述可疑流量， 所述可 疑流量用于所述待测 加密流量的后续 解密分析。 [0005]本说明书一个或多个实施例提供一种加密流量中可疑流量的判断装置， 包括处理 器， 所述处理器用于执行所述计算机指令中的至少部分指 令以实现加密流量中可疑流量的 判断方法。 [0006]本说明书一个或多个实施例提供一种计算机可读存储介质， 所述存储介质存储计 算机指令， 当所述计算机指令被处 理器执行时实现加密流 量中可疑流 量的判断方法。 附图说明 [0007]本说明书将以示例性实施例的方式进一步说明， 这些示例性实施例将通过附图进 行详细描述。 这些实施例并非限制性的， 在这些实施例中， 相同的编号表示相同的结构， 其 中： [0008]图1是根据本说明书一些实施例所示的加 密流量中可疑流量的判断系统的应用场 景示意图； [0009]图2是根据本说明书一些实施例所示的加 密流量中可疑流量的判断系统的示例性说　明　书 1/11 页 3 CN 115514537 A 3