一种加密恶意流量的检测方法和装置与流程

1.本发明涉及计算机技术领域，具体而言，涉及一种加密恶意流量的检测方法和装置。


背景技术：

2.在真实的网络应用中，恶意加密流量检测往往是在非对称路由环境下进行。即在一些大型网络边界，如省际、国际网络出口等，此类网络由于路由配置等方面的技术原因，同一个数据流的上下行数据可能不是通过同一个线路传输，从而导致一些检测节点无法获得一个数据流的全部流量。即需要在非对称路由环境中进行数据流的恶意行为检测。
3.在非对称路由环境中，发现恶意加密流量的恶意行为方法可以分为两种：第一种是非数据流分析法；即利用离散的数据包直接分析发现其中可能的恶意加密流量；第二种是数据流分析法：在非对称路由环境下，尽其所能的还原部分数据流，对可以还原的数据流进行分析，其余数据丢弃；但第一种方法所能获得的流量信息有限，在不还原数据流的情况下，很难获得真正有意义的数据信息，导致分析的准确性下降；第二种方法基于数据流的分析方法在分析过程中虽然对于可还原的数据流具有较好的准确性，但是由于非对称路由的特点导致可以实现流重组的数据比例较少，因此大量的数据可能被遗漏，从而造成恶意行为绕过。
4.因此，急需一种在非对称路由环境中对恶意加密流量检测的有效方法。


技术实现要素：

5.本发明的目的在于提供一种加密恶意流量的检测方法和装置，能够解决上述提到的至少一个技术问题。具体方案如下：
6.根据本发明的具体实施方式，第一方面，本发明提供一种加密恶意流量的检测方法，具体包括：
7.在网络边界上实时采集网络数据流，所述网络数据流包括网络层数据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；
8.对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流；
9.对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；
10.基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充；其中，所述第二信息包括：数字证书和服务端的算法套件信息；
11.利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。
12.可选的，所述在网络边界上实时采集网络数据，基于网络层和传输层的数据包特征，将数据流进行分组，包括：
13.将五元组信息相同的数据包划分为一组；其中，所述五元组信息包括：源ip地址、目的ip地址、源端口、目的端口以及传输层协议类。
14.可选的，所述将五元组信息相同的数据包划分为一组之后，还包括：
15.在同一组中，基于所述数据包的时间戳进行所述数据包排序；
16.基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分；或者，对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分；其中，所述特殊标识位包括：syn、fin或rst。
17.可选的，所述基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分，包括：
18.对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。
19.可选的，所述对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流，包括：
20.对所述分组后的数据流，基于服务端ip、数字证书和访问域名信息过滤掉白名单数据流。
21.可选的，所述对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充，包括：
22.基于所述对过滤后的剩余数据流中的数据包，进行计算，基于计算得出的所述可疑数据数据流，预测所述可疑数据流信息；
23.通过数据传输的一般协议规则，补充所述可疑数据数据流中的缺失数据包的第一信息。
24.可选的，所述基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充，包括：
25.通过已知服务端ip，主动向服务端发起tls请求，获得数字证书；
26.通过客户端与服务端的主动交互，获得所述服务端的算法套件信息；其中，所述算法套件信息包括：支持的算法、密钥长度以及协议版本；
27.基于所述数字证书和算法套件信息，对所述可疑数据流进行所述第二信息补充。
28.可选的，所述利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测，包括：
29.对所述第一信息和第二信息进行特征提取；
30.基于所述提取的特征利用预先训练好的机器学习模型进行恶意加密流量检测，检测出恶意加密数据。
31.可选的，所述预先训练好的机器学习模型，是基于黑白流量构建的。
32.根据本发明的具体实施方式，第二方面，本发明提供一种加密恶意流量的检测装置，具体包括：
33.划分单元301、过滤单元302、预测单元303、探测单元304和检测单元305；
34.所述划分单元301，用于在网络边界上实时采集网络数据流，所述网络数据流包括网络层数据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；
35.所述过滤单元302，用于对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流；
36.所述预测单元303，用于对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；
37.所述探测单元304，用于基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充；其中，所述第二信息包括：数字证书和服务端的算法套件信息；
38.所述检测单元305，用于利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。
39.可选的，所述在网络边界上实时采集网络数据，基于网络层和传输层的数据包特征，将数据流进行分组，包括：
40.将五元组信息相同的数据包划分为一组；其中，所述五元组信息包括：源ip地址、目的ip地址、源端口、目的端口以及传输层协议类。
41.可选的，所述将五元组信息相同的数据包划分为一组之后，还包括：
42.在同一组中，基于所述数据包的时间戳进行所述数据包排序；
43.基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分；或者，对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分；其中，所述特殊标识位包括：syn、fin或rst。
44.可选的，所述基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分，包括：
45.对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。
46.可选的，所述对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流，包括：
47.对所述分组后的数据流，基于服务端ip、数字证书和访问域名信息过滤掉白名单数据流。
48.可选的，所述对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充，包括：
49.基于所述对过滤后的剩余数据流中的数据包，进行计算，基于计算得出的所述可疑数据数据流，预测所述可疑数据流信息；
50.通过数据传输的一般协议规则，补充所述可疑数据数据流中的缺失数据包的第一信息。
51.可选的，所述基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充，包括：
52.通过已知服务端ip，主动向服务端发起tls请求，获得数字证书；
53.通过客户端与服务端的主动交互，获得所述服务端的算法套件信息；其中，所述算法套件信息包括：支持的算法、密钥长度以及协议版本；
54.基于所述数字证书和算法套件信息，对所述可疑数据流进行所述第二信息补充。
55.可选的，所述利用机器学习算法对进行所述第一信息和所述第二信息补充后的所
述可疑流量进行恶意流量检测，包括：
56.对所述第一信息和第二信息进行特征提取；
57.基于所述提取的特征利用预先训练好的机器学习模型进行恶意加密流量检测，检测出恶意加密数据。
58.可选的，所述预先训练好的机器学习模型，是基于黑白流量构建的。本发明实施例的上述方案与现有技术相比，至少具有以下有益效果：
59.本发明通过计算推测和主动探测获取信息，利用经过检测设备的数据，推测与这些数据相关的数据的部分网络行为属性；对于一些关键信息，通过主动复现的方式进行服务端预测来进行信息补充，弥补了非对称路由导致的数据确实缺失；
60.本发明既不需要严格进行数据流重组，还有效的补充了数据流分析所需的大部分信息，降低了基础数据的依赖性，提高了分析的灵活性和准确性；
61.本发明以数据流为基本单位进行恶意行为检测，发挥了智能检测方法的基本优势，确保了检测的准确性。
附图说明
62.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
63.图1示出了根据本发明实施例的一种加密恶意流量的检测方法的流程图；
64.图2示出了根据本发明实施例的一种主动网络探测对可疑流量进行第二信息补充的过程示意图；
65.图3示出了根据本发明实施例的一种加密恶意流量的检测装置的示意图；
66.图4示出了根据本发明的实施例一种电子设备的结构示意图。
具体实施方式
67.为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
68.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种。
69.应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
70.应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述
……
，但这些
……
不应限于这些术语。这些术语仅用来将
……
区分开。例如，在不脱离本发明实施例范围的情况下，第一
……
也可以被称为第二
……
，类似地，第二
……
也可以被称为第
一
……
。
71.取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
72.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。
73.下面结合附图详细说明本发明的可选实施例。
74.实施例1
75.如图1所示，根据本发明的具体实施方式，第一方面，本发明提供一种加密恶意流量的检测方法，包括：
76.步骤s101:在网络边界上实时采集网络数据流，所述网络数据流包括网络层数据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；
77.其中，网络边界，是指系统内部网络与外界网络互通信息的交界，是边界防护的安全理念。例如，政府的内网与外网，需要面对公众服务；银行的数据网与互联网，需要支持网上交易；企业的办公与生产网；民航、铁路与交通部的信息网与互联网，网上预定与实时信息查询。
78.数据流，是一组有序、有起点和终点的字节的数据序列，数据流包含若干数据包。
79.步骤s1011:将五元组信息相同的数据包划分为一组；
80.其中，五元组信息，包括：源ip地址、目的ip地址、源端口、目的端口以及传输层协议类。例如:源ip地址用ipax表示、目的ip地址用ipbx表示、源端口用max表示、目的端口用mbx表示以及传输层协议类用rx表示，其中，x表示数字；
81.a、ipa1、ipb1、ma2、mb1、r1；
82.b、ipa2、ipb3、ma2、mb1、r3；
83.c、ipa1、ipb1、ma2、mb1、r1；
84.d、ipa2、ipb3、ma2、mb1、r3；
85.那么，a和c划分到一组，b和d划分到另一组。
86.步骤s1012：所述将五元组信息相同的数据包划分为一组之后，还包括：
87.在同一组中，基于所述数据包的时间戳进行所述数据包排序；
88.其中，时间戳是使用数字签名技术产生的数据，签名的对象包括了原始文件信息、签名参数、签名时间等信息。
89.步骤s1013:基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分；或者，对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分；其中，所述特殊标识位，包括：syn、fin或rst；
90.步骤s10131：其中，基于所述排序后的数据包中的特殊标识位对所述排序后的数
据包进行划分，包括：
91.对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。例如，第二设定值为10秒。
92.其中，对不带有所述特殊标识位且序列号差异超过第一设定值的数据包在出现间隔时间大或序列号乱序等情况的位置处进行数据包划分。
93.其中，第一设定时间为5秒。
94.其中，syn，英文全称为synchronous，即建立联机；fin，英文全称为finish，即结束；rst，英文全称为reset，即重置。
95.步骤s102:对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流；
96.对所述分组后的数据流，基于服务端ip、数字证书和访问域名信息过滤掉白名单数据流。
97.其中，数字证书，是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份；白名单，是不含恶意流量的可信名单的域名网站等，网站白名单的概念与“黑名单”相对应。例如：在电脑系统里，有很多软件都应用到了黑白名单规则，操作系统、防火墙、杀毒软件、邮件系统、应用软件等，凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后，被列入到黑名单的用户(或ip地址、ip包、邮件、病毒等)不能通过。如果设立了白名单，则在白名单中的用户(或ip地址、ip包、邮件等)会优先通过，不会被当成垃圾邮件拒收，安全性和快捷性都大大提高。将其含义扩展一步，那么凡有黑名单功能的应用，就会有白名单功能与其对应。网站白名单，例如，百度，360等。本发明将白名单进行数据过滤后，获得的剩余数据流中才包含本方案需要检测的加密恶意流量。
98.步骤s103:对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；
99.其中，对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，是指例如，如果交互过程中收到了连续两个ack上行/下行包，而下行/上行包数据长度与ack包中的序列号无法对应，则意味着丢失了一个下行/上行包，将两个ack包的序列号做差，基于其差值来预测丢失数据包的大小、从而也就判定了该数据包的上下行方向；基于两个ack数据包的时间以及丢失的数据包之前和之后的同方向数据包的时间戳上的时间做差，其差值能预测丢失数据包的传输时间。
100.其中，并对所述可疑流量进行第一信息补充，是指将预测到的可疑流量的“丢失数据包的大小、丢失数据包的上下行方向、丢失数据包的传输时间”等这些缺失的信息补充到所在的可疑数据流中的相应位置。
101.步骤s1031:基于所述对过滤后的剩余数据流中的数据包，进行计算，基于计算得出的所述可疑数据数据流，预测所述可疑数据流信息；
102.步骤s1032:通过数据传输的一般协议规则，补充所述可疑数据数据流中的缺失数据包的“丢失数据包的大小、丢失数据包的上下行方向、丢失数据包的传输时间”等信息。
103.其中，一般协议规则，是指计算机网络中进行数据交换而建立的规则、标准或约定的集合。例如tcp/ip协议、ipx/spx协议、netbeui协议等。
104.步骤s104：所述基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息
补充；如图2所示。
105.其中，主动网络探测所述可疑流量信息，是指基于已知数据流信息，对一些服务端短期不会变换的信息进行主动探测获取并补充给数据流，获取并补充数字证书和服务端的算法套件信息；其中，所述第二信息，包括：数字证书和服务端的算法套件信息；
106.其中，在技术能力达到的范围内，可以按检测需要探测各类信息，不仅仅包含或者必须是步骤s104所述的数字证书或套件信息。
107.步骤s1041：通过已知服务端ip，主动向服务端发起tls请求，获得数字证书；
108.其中，通过已知服务端ip，可以主动向服务端发起tls请求，获得数字证书，如果数据流中已知服务端域名(sni)，则发送的服务端请求可以更加准确；
109.其中，tls，英文全称为transport layer security，即传输层安全性协议。
110.步骤s1042:通过客户端与服务端的主动交互，获得所述服务端的算法套件信息；其中，所述算法套件信息，包括：支持的算法、密钥长度以及协议版本；
111.其中，通过客户端与服务端进行主动交互，可以获得服务端的算法套件信息，包括但不限于支持的算法、密钥长度、协议版本等。
112.步骤s1043：基于所述数字证书和算法套件信息，对所述可疑数据流进行所述第二信息补充。
113.其中，对所述可疑数据流进行所述第二信息补充，是指将预测到的可疑流量的“数字证书和服务端的算法套件”等这些缺失的信息补充到所在的可疑流量的相应位置。
114.步骤s105：利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。
115.其中，对可疑流量进行补充了预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间、算法套件、数字证书和数据流基本统计信息之后，再对上述特征等进行提取；
116.然后，基于训练好的检测模型,通过成熟的检测方法对已补充算法套件、数字证书和数据流基本统计信息的数据流信息进行模型检测；
117.其中，检测模型，是基于黑白流量预先构建训练好的。还可以采用现有的方法进行检测，例如，无监督学习的聚类方法。
118.本发明通过计算推测和主动探测获取信息，利用经过检测设备的数据，推测与这些数据相关的数据的部分网络行为属性；对于一些关键信息，通过主动复现的方式进行服务端预测来进行信息补充弥补了非对称路由导致的数据确实缺失；
119.本发明既不需要严格进行数据流重组，还有效的补充了数据流分析所需的大部分信息，降低了基础数据的依赖性，提高了分析的灵活性和准确性；
120.本发明以数据流为基本单位进行恶意行为检测，发挥了智能检测方法的基本优势，确保了检测的准确性。
121.实施例2
122.如图3所示，根据本发明的具体实施方式，第二方面，本发明提供一种加密恶意流量的检测装置，包括：
123.划分单元301、过滤单元302、预测单元303、探测单元304和检测单元305；
124.所述划分单元301，用于在网络边界上实时采集网络数据流，所述网络数据流包括
网络层数据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；
125.所述过滤单元302，用于对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流；
126.所述预测单元303，用于对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；
127.所述探测单元304，用于基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充；其中，所述第二信息包括：数字证书和服务端的算法套件信息；
128.所述检测单元305，用于利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。
129.可选的，所述在网络边界上实时采集网络数据，基于网络层和传输层的数据包特征，将数据流进行分组，包括：
130.将五元组信息相同的数据包划分为一组；其中，所述五元组信息包括：源ip地址、目的ip地址、源端口、目的端口以及传输层协议类。
131.可选的，所述将五元组信息相同的数据包划分为一组之后，还包括：
132.在同一组中，基于所述数据包的时间戳进行所述数据包排序；
133.基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分；或者，对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分；其中，所述特殊标识位包括：syn、fin或rst。
134.可选的，所述基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分，包括：
135.对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。
136.可选的，所述对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流，包括：
137.对所述分组后的数据流，基于服务端ip、数字证书和访问域名信息过滤掉白名单数据流。
138.可选的，所述对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充，包括：
139.基于所述对过滤后的剩余数据流中的数据包，进行计算，基于计算得出的所述可疑数据数据流，预测所述可疑数据流信息；
140.通过数据传输的一般协议规则，补充所述可疑数据数据流中的缺失数据包的第一信息。
141.可选的，所述基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充，包括：
142.通过已知服务端ip，主动向服务端发起tls请求，获得数字证书；
143.通过客户端与服务端的主动交互，获得所述服务端的算法套件信息；其中，所述算法套件信息包括：支持的算法、密钥长度以及协议版本；
144.基于所述数字证书和算法套件信息，对所述可疑数据流进行所述第二信息补充。
145.可选的，所述利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测，包括：
146.对所述第一信息和第二信息进行特征提取；
147.基于所述提取的特征利用预先训练好的机器学习模型进行恶意加密流量检测，检测出恶意加密数据。
148.可选的，所述预先训练好的机器学习模型，是基于黑白流量构建的。
149.本发明通过计算推测和主动探测获取信息，利用经过检测设备的数据，推测与这些数据相关的数据的部分网络行为属性；对于一些关键信息，通过主动复现的方式进行服务端预测来进行信息补充弥补了非对称路由导致的数据确实缺失；
150.本发明既不需要严格进行数据流重组，还有效的补充了数据流分析所需的大部分信息，降低了基础数据的依赖性，提高了分析的灵活性和准确性；
151.本发明以数据流为基本单位进行恶意行为检测，发挥了智能检测方法的基本优势，确保了检测的准确性。
152.实施例3
153.如图4所示，本实施例提供一种电子设备，该设备用于一种加密恶意流量的检测方法，所述电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，
154.所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够处理一种加密恶意流量的检测。
155.如图4所示，其示出了适于用来实现本公开实施例的电子设备的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、pda(个人数字助理)、pad(平板电脑)、pmp(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
156.如图4所示，电子设备可以包括处理装置(例如中央处理器、图形处理器等)401，其可以根据存储在只读存储器(rom)402中的程序或者从存储装置408加载到随机访问存储器(ram)403中的程序而执行各种适当的动作和处理。在(ram)403中，还存储有电子设备操作所需的各种程序和数据。处理装置401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
157.通常，以下装置可以连接至i/o接口405：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406；包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置407；包括例如磁带、硬盘等的存储装置408；以及通信装置409。通信装置409可以允许电子设备与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
158.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实
施例中，该计算机程序可以通过通信装置409从网络上被下载和安装，或者从存储装置408被安装，或者从rom 402被安装。在该计算机程序被处理装置401执行时，执行本公开实施例的方法中限定的上述功能。
159.实施例4
160.根据本发明的具体实施方式，第四方面，本公开实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的一种加密恶意流量的检测方法。
161.需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
162.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。
163.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备能够进行一种加密正常流量的过滤。
164.或者，上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备能够进行一种加密正常流量的过滤。
165.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
166.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用
于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
167.描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。