(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111237361.4 (22)申请日 2021.10.21 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 王晓敏　庞瑞　 (74)专利代理 机构 工业和信息化部电子专利中 心 11010 代理人 焉明涛 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 一种恶意加密流 量检测方法及装置 (57)摘要 本公开提出了一种恶意加密流量检测方法 及装置， 其中恶意加密流量检测方法包括： 获取 网络流量数据； 基于网络模型对网络流量数据进 行识别， 并确定所述网络模型对网络流量数据的 识别错误率； 在所述识别错误率满足第一预设条 件的情况下， 记录在后获取的网络流量数据， 并 确定所述网络模型对在后的网络流量数据的识 别错误率； 在所述预设网络模型对在后的网络流 量数据的识别错误率在预设时段内满足第二预 设条件的情况下， 基于记录的在后的网络流量数 据对所述网络模 型进行训练， 以更新所述网络模 型。 本公开的方法解决了网络模 型在线上使用时 对数据的适用性问题， 有效保证了网络模型对新 型恶意流量数据的检出效果。 权利要求书2页 说明书8页 附图2页 CN 114079579 A 2022.02.22 CN 114079579 A 1.一种恶意加密流 量检测方法， 其特 征在于， 包括： 获取网络流 量数据； 基于网络模型对 网络流量数据进行识别， 并确定所述网络模型对 网络流量数据的识别 错误率； 在所述识别错误率满足第一预设条件的情况下， 记录在后获取的网络流量数据， 并确 定所述网络模型对在后的网络流 量数据的识别错 误率； 在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预 设条件的情况下， 基于记录的在后的网络流量数据对所述网络模型进行训练， 以更新所述 网络模型。 2.如权利要求1所述的恶意加密流量检测方法， 其特征在于， 基于网络模型对 网络流量 数据进行识别包括： 将网络流 量数据输入所述网络模型， 以确定网络流 量数据为恶意 流量的概率； 在所述网络模型输出的概率大于第一阈值的情况下， 对相应的网络流量数据进行告 警； 确定所述网络模型对网络流 量数据的识别错 误率包括： 确定告警的网络流 量数据中是否存在误报数据； 基于所述 误报数据确定所述网络模型对网络流 量数据的识别错 误率。 3.如权利要求2所述的恶意加密流量检测方法， 其特征在于， 对相应的网络流量数据进 行告警还 包括： 提取误报数据中的TLS协议的证书的校验码， 基于所述校验码与误报库中的校验码进 行匹配， 在匹配不成功的情况 下， 对相应的网络流 量数据进行告警。 4.如权利要求1所述的恶意加密流量检测方法， 其特征在于， 在所述识别错误率超过第 一阈值的情况下， 记录在后 获取的网络流量数据包括： 按照时间顺序持续获取在后的网络 流量数据。 5.如权利要求1所述的恶意加密流量检测方法， 其特征在于， 所述第 一预设条件包括如 下中的一种： 所述识别错 误率变化的置信度达 到第一级别； 所述识别错 误率超过第二阈值。 6.如权利要求5所述的恶意加密流 量检测方法， 其特 征在于， 所述第二预设条件 包括： 在预设时段内， 所述预设网络模型对在后的网络流量数据的识别错误率持续高于所述 第二阈值， 且， 识别错 误率达到第二级别。 7.如权利要求6所述的恶意加密流量检测方法， 其特征在于， 基于记录的在后的网络流 量数据对所述网络模型进行训练， 以更新所述网络模型包括： 基于在后的网络流 量数据训练网络模型； 将训练获得的网络模型用于检测新输入的网络流量数据， 并计算网络模型分类错误的 概率， 将该分类错 误的概率作为错误率； 基于后续输入的网络流量数据以及所述第一预设条件以及所述第二预设条件确定所 述网络模型 是否漂移。 8.如权利要求7所述的恶意加密流量检测方法， 其特征在于， 基于在后的网络流量数据权　利　要　求　书 1/2 页 2 CN 114079579 A 2训练网络模型包括： 在原始的训练样本中加入误报库中的数据以及所述第一预设条件与所述第二预设条 件之间的数据， 以获得目标训练集； 保持训练过程中的特征、 模型算法和参数不变， 基于所述目标训练集， 对所述网络模型 进行训练。 9.一种恶意加密流 量检测装置， 其特 征在于， 所述恶意加密流 量检测装置包括： 流量获取单元， 获取网络流 量数据； 误报记录单元， 基于网络模型对网络流量数据进行识别， 并确定所述网络模型对网络 流量数据的识别错 误率； 概念漂移监测单元， 在所述识别错误率满足第一预设条件的情况下， 记录在后获取的 网络流量数据， 并确定所述网络模型对在后的网络流 量数据的识别错 误率； 模型再训练单元， 被配置为在所述预设网络模型对在后的网络流量数据的识别错误率 在预设时段内满足第二预设条件的情况下， 基于记录的在后的网络流量数据对所述网络模 型进行训练， 以更新所述网络模型。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至8中任一项 所述的恶意加密流量 检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114079579 A 3