(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211051057.5 (22)申请日 2022.08.30 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 安晓宁　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 唐正瑜 (51)Int.Cl. H04L 9/40(2022.01) H04L 47/2483(2022.01) H04L 47/2441(2022.01)G06K 9/62(2022.01) (54)发明名称 一种网络加密流量识别方法、 装置、 电子设 备及存储介质 (57)摘要 本申请实施例提供一种网络加密流量识别 方法、 装置、 电子设备及存储介质， 涉及威胁检测 技术领域。 该方法包括获取待测流量并提取所述 待测流量中的数据包； 获取所述数据包的长度， 并对所述数据包进行分类， 以确定所述数据包的 数据类型； 基于所述数据类型进行特征提取， 以 获得特征向量； 基于所述数据类型选取预设的检 测模型； 将所述特征向量输入所述检测模型， 并 对所述特征向量进行加密检测， 以获得检测结 果， 根据长度将数据包进行长短分类， 并分别进 行特征提取和模 型检测， 可准确识别短数据包流 量， 解决现有方法无法识别数据包较 短的加密流 量， 导致识别结果 不准确的问题。 权利要求书2页 说明书10页 附图5页 CN 115426162 A 2022.12.02 CN 115426162 A 1.一种网络加密流 量识别方法， 其特 征在于， 所述方法包括： 获取待测流 量并提取 所述待测流 量中的数据包； 获取所述数据包的长度， 并对所述数据包进行分类， 以确定所述数据包的数据类型； 基于所述数据类型进行 特征提取， 以获得 特征向量； 基于所述数据类型选取 预设的检测模型； 将所述特征向量输入所述检测模型， 并对所述特征向量进行加密检测， 以获得检测结 果。 2.根据权利要求1所述的网络加密流量识别方法， 其特征在于， 所述获取所述数据包的 长度， 并对所述数据包进行分类， 以确定数据类型， 包括： 若所述数据包的长度大于预设字节阈值， 则所述数据包为长数据； 若所述数据包的长度不大于所述字节阈值， 则所述数据包为短数据。 3.根据权利要求2所述的网络加密流量识别方法， 其特征在于， 所述基于所述数据类型 进行特征提取， 以获得 特征向量， 包括： 若所述数据包为长数据， 则对所述数据包进行长数据特征提取， 所述长数据特征包括 1‑gram熵、 2 ‑gram熵、 3 ‑gram熵、 汉明权重、 特定字符熵、 卡方值、 近似转移概率统计特征、 字 符分布统计特 征和字节值统计特 征； 若所述数据包为短数据， 则对所述数据包进行短数据特征提取， 所述短数据特征包括 1‑gram熵、 字节值平均值、 汉明权重、 字符分布统计特征、 子串统计特征、 最大子串统计特 征、 连续子串统计特 征和字节位置特 征。 4.根据权利要求1所述的网络加密流量识别方法， 其特征在于， 所述检测模型包括长数 据模型， 在所述基于所述数据类型选取预设的检测模型 的步骤之前， 所述方法还包括对所 述检测模型进行训练： 读取训练用长数据特 征； 对所述训练用长数据特 征进行标注； 利用标注后的训练用长数据 特征并采用前向分步算法对梯度提升树模型进行训练， 以 得到所述长数据模型。 5.根据权利要求1所述的网络加密流量识别方法， 其特征在于， 所述检测模型包括短数 据模型， 在所述基于所述数据类型选取预设的检测模型 的步骤之前， 所述方法还包括对所 述检测模型进行训练： 读取训练用短数据特 征； 对所述训练用短数据特 征进行标注； 利用标注后的训练用短数据 特征并采用前向分步算法对梯度提升树模型进行训练， 以 得到所述短数据模型。 6.根据权利要求1所述的网络加密流量识别方法， 其特征在于， 所述对所述特征向量进 行加密检测， 以获得检测结果， 包括： 获取每个数据包的检测类型， 所述检测类型包括加密数据类型和明文数据类型； 若所述待测流 量中存在数据包为加密数据类型， 则所述待测流 量为加密流 量； 若所述待测流 量中所有数据包均为明文数据类型， 则所述待测流 量为非加密流 量。 7.一种网络加密流 量识别装置， 其特 征在于， 所述装置包括：权　利　要　求　书 1/2 页 2 CN 115426162 A 2流量采集模块， 用于获取待测流 量并提取 所述待测流 量中的数据包； 分类模块， 用于获取所述数据包的长度， 并对所述数据包进行分类， 以确定所述数据包 的数据类型； 特征提取模块， 用于基于所述数据类型进行 特征提取， 以获得 特征向量； 模型选取模块， 用于基于所述数据类型选取 预设的检测模型； 检测模块， 用于将所述特征向量输入所述检测模型， 并对所述特征向量进行加密检测， 以获得检测结果。 8.根据权利要求7所述的网络加密流量识别装置， 其特征在于， 所述特征提取模块包 括： 第一特征提取模块， 用于若所述数据包为长数据， 则对所述数据包进行长数据特征提 取， 所述长数据特征包括1 ‑gram熵、 2 ‑gram熵、 3 ‑gram熵、 汉明权重、 特定字符熵、 卡方值、 近 似转移概 率统计特 征、 字符分布统计特 征和字节值统计特 征； 第二特征提取模块， 用于若所述数据包为短数据， 则对所述数据包进行短数据特征提 取， 所述短数据特征包括 1‑gram熵、 字节 值平均值、 汉明权重、 字 符分布统计特征、 子串统计 特征、 最大子串统计特 征、 连续子串统计特 征和字节位置特 征。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行计算机程序以使 所述电子设备执行根据权利要求 1至6中 任一项所述的网络加密流 量识别方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至6任一项 所述的网络加密流 量识别方法。权　利　要　求　书 2/2 页 3 CN 115426162 A 3