加密流量数据的检测方法、系统、电子装置和存储介质与流程

本申请涉及网络安全技术领域，特别是涉及一种加密流量数据的检测方法、系统、电子装置和存储介质。

背景技术：

随着大数据和人工智能时代的到来，5g网络的广泛应用，移动终端设备在呈指数增长，网络流量越来越大，网络环境越来越复杂多样，设备安全、移动互联网用户安全、数据安全等受到的危险也越来越高。如何从网络流量数据中发现异常行为，并给出预警，已经成为了当前网络安全管理的一个重要研究领域。

网络流量分析与检测主要是针对网络流量来进行分析，主要是涉及运营商的网络流量分析、设备识别、用户识别等，进而来进行网络安全管理、资源优化处理。

相关技术中的的网络流量分析主要是在机架、核心交换机、路由器等设备上采用端口流量镜像的方式来采集网络流量数据，然后存储到大数据集群中进行批处理，最后再为用户提供相应的服务等。例如，通过端口镜像的方式获取网络流量数据，然后应该数据包解析、协议解析，最后使用规则匹配的方式检测网络流量数据中是否存在异常行为。然而，这类技术方案，往往需要服务人员或专业人员去检测评估，检测效率较低，同时，误报率和漏报率也较高。

目前针对相关技术中流量数据中对异常行为的检测效率低的问题，尚未提出有效的解决方案。

技术实现要素：

本申请实施例提供了一种加密流量数据的检测方法、系统、电子装置和存储介质，以至少解决相关技术中流量数据中对异常行为的检测效率低的问题。

第一方面，本申请实施例提供了一种加密流量数据的检测方法，包括：获取加密流量数据，并按时间序列将所述加密流量数据分成多个数据包；利用流式计算模块在所述多个数据包中检测预设特征信息，其中，所述预设特征信息至少包括以下一种特征：时序特征、流量特征、行为特征；将每个所述数据包和每个所述数据包对应的所述时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个所述数据包对应的第一概率信息，以及将每个数据包和每个所述数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，其中，所述第一概率信息和所述第二概率信息均包括所述数据包中存在的多种网络入侵行为的类别及每个类别对应的网络入侵行为的预测概率；至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息，并根据所述最终概率信息确定与所述数据包对应的网络入侵行为。

在其中一些实施例中，所述第一概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，所述第二概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率；至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息，并根据所述最终概率信息确定与所述数据包对应的网络入侵行为包括：至少对每个类别对应的网络入侵行为的第一预测概率的第二预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定所述最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率；在每个类别对应的网络入侵行为的最终预测概率中选取概率最高的最终预测概率，并确定与所述数据包对应的网络入侵行为包括所述概率最高的最终预测概率对应的所述网络入侵行为。

在其中一些实施例中，所述预设特征信息还包括：数据包特征、证书特征；在至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息之前，所述方法还包括：将每个数据包和每个所述数据包对应的数据包特征和证书特征作为第三流量数据，输入已训练的第三流量预测模型，获得每个数据包对应的第三概率信息，其中，所述第三概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第三预测概率。

在其中一些实施例中，所述第一概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，所述第二概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率；至少对所述第一概率信息和所述第二概率信息进行数据处理，得到最终概率信息包括：对每个类别对应的网络入侵行为的第一预测概率、第二预测概率以及第三预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定所述最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率。

在其中一些实施例中，利用流式计算模块在所述多个数据包中检测预设特征信息包括：对所述多个数据包进行预处理，得到多个备选数据包，其中，所述预处理包括结构化处理；将多个所述备选数据包输入到分布式消息处理模块进行分类处理，得到对应每个所述数据包的类别标签；在所述多个数据包中检测所述类别标签为实时数据的候选数据包，并利用所述流式计算模块在所述候选数据包中检测所述预设特征信息。

在其中一些实施例中，在利用流式计算模块在所述多个数据包中检测预设特征信息之后，所述方法还包括：将每个所述数据包、每个所述数据包对应的预设特征信息以及每个所述数据包和所述预设特征信息的对应关系存储到预设数据库中。

在其中一些实施例中，所述方法还包括：构建第一初始神经网络模型和第二初始神经网络模型；获取多个训练数据包、对应于每个所述训练数据包的预设特征信息以及对应于每个所述训练数据包的实际网络入侵行为；将每个所述训练数据包和每个所述训练数据包对应的所述时序特征作为第一训练数据集，输入所述第一初始神经网络模型，以对应于每个所述训练数据包的实际网络入侵行为作为监督，更新所述第一初始神经网络模型中各网络层的连接权值，得到所述已训练的第一流量预测模型；将每个所述训练数据包和每个所述训练数据包对应的所述流量特征和所述行为特征作为第二训练数据集，输入所述第二初始神经网络模型，以对应于每个所述训练数据包的实际网络入侵行为作为监督，更新所述第二初始神经网络模型中各网络层的连接权值，得到所述已训练的第二流量预测模型。

第二方面，本申请实施例提供了一种加密流量数据的检测系统，包括：分布式消息处理模块，所述分布式消息处理模块用于对数据包进行分类处理；流式计算模块，所述流式计算模块用于对所述分布式消息处理模块中的数据包进行特征计算，并获取与所述数据包对应的预设特征信息；预设数据库，所述预设数据库用于存储所述数据包、与所述数据包对应的预设特征信息以及所述数据包和所述预设特征信息的对应关系；流量检测模块，所述流量检测模块用于执行如上述第一方面所述的加密流量数据的检测方法。

第三方面，本申请实施例提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的加密流量数据的检测方法。

第四方面，本申请实施例提供了一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述第一方面所述的加密流量数据的检测方法。

相比于相关技术，本申请实施例提供的加密流量数据的检测方法、系统、电子装置和存储介质，通过获取加密流量数据，并按时间序列将加密流量数据分成多个数据包，然后利用流式计算模块在多个数据包中检测预设特征信息，将每个数据包和每个数据包对应的时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个数据包对应的第一概率信息，以及将每个数据包和每个数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，并至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，最后根据最终概率信息确定与数据包对应的网络入侵行为，解决了相关技术中流量数据中对异常行为的检测效率低的问题，实现了提高对流量数据中异常行为的检测效率的技术效果。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例的加密流量数据的检测方法的流程图；

图2是根据本申请实施例的加密流量数据的检测系统的结构框图；

图3是根据本申请实施例的电子装置的硬件结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本实施例提供了一种加密流量数据的检测方法，图1是根据本申请实施例的加密流量数据的检测方法的流程图，如图1所示，该流程包括如下步骤：

步骤s101，获取加密流量数据，并按时间序列将加密流量数据分成多个数据包。

步骤s102，利用流式计算模块在多个数据包中检测预设特征信息，其中，预设特征信息至少包括以下一种特征：时序特征、流量特征、行为特征。

步骤s103，将每个数据包和每个数据包对应的时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个数据包对应的第一概率信息，以及将每个数据包和每个数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，其中，第一概率信息和第二概率信息均包括数据包中存在的多种网络入侵行为的类别及每个类别对应的网络入侵行为的预测概率。

步骤s104，至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，并根据最终概率信息确定与数据包对应的网络入侵行为。

在本实施例中，第一概率信息可以包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，第二概率信息可以包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率。

通过上述步骤s101至步骤s104，通过获取加密流量数据，并按时间序列将加密流量数据分成多个数据包，然后利用流式计算模块在多个数据包中检测预设特征信息，将每个数据包和每个数据包对应的时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个数据包对应的第一概率信息，以及将每个数据包和每个数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，并至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，最后根据最终概率信息确定与数据包对应的网络入侵行为。基于流量的时序特征对数据包进行第一级检测速度较快，基于流量的数据包特征和证书特征对数据包进行第二级检测即深度包检测误报率较低，同时基于加权平均方式计算数据包的最终概率信息漏报率较低，将三级模型结合进行异常行为的检测可以显著提高基于https隧道的加密流量数据异常行为的检测准确率和检测效率，解决了相关技术中流量数据中对异常行为的检测效率低的问题，实现了提高对流量数据中异常行为的检测效率的技术效果。

在其中一些实施例中，至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，并根据最终概率信息确定与数据包对应的网络入侵行为包括如下步骤：

步骤1、至少对每个类别对应的网络入侵行为的第一预测概率的第二预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率；

步骤2、在每个类别对应的网络入侵行为的最终预测概率中选取概率最高的最终预测概率，并确定与数据包对应的网络入侵行为包括概率最高的最终预测概率对应的网络入侵行为。

在本实施例中，可以在移动设备或者使用互联网的设备上设置采集软件，采集设备的网络流量、系统信息、用户信息、应用信息和网页信息等多源信息，然后可以将这类流量数据加密后实时上传到云服务器上。

其中，采集软件可以在移动设备或者使用互联网的设备上由用户自主授权安装与共享数据，保证用户自主选择，提高用户数据的安全性。

在本实施例中，采集到的流量数据可以包括结构化数据和非结构化数据，流量数据可以包括网络流量、协议内容、系统日志、用户信息、应用网站数据等。其中，结构化数据可以包括网络流量大小、数据包大小、数据包数量、端口、连接时长等数据，非结构化数据可以包括文字数据、文本数据、pcap包等数据。

在本实施例中，最终概率信息可以包括各个类别对应的网络入侵行为的最终预测概率，例如，dos攻击(拒绝服务攻击，denialofserviceattack，简称为dos)的六种类别：back，land，neptune，pod，smurf，teardrop；probe攻击(通过端口监视或扫描收集信息，probingattack，简称为probe)的四种类别：ipsweep，nmap，portsweep，satan；r2l攻击(来自远程主机的未授权访问，remote-to-localattack，简称为r2l)的八种类别：ftp-write，guess-passwd，imap，multihop，phf，spy，warezclient，warezmaster；u2r攻击(未授权的本地超级用户特权访问，user-to-rootattack，简称为u2r)的四种类别：buffer-overflow，loadmodule，perl，rootkit。

最终概率信息可以包括上述各个类别对应的网络入侵行为的最终预测概率，也还可以包括其他类别对应的网络入侵行为的最终预测概率，在获得最终概率信息之后，筛选得到最终概率信息中概率最高的最终预测概率，并将该概率最高的最终预测概率对应的网络入侵行为作为与数据包对应的网络入侵行为，进而了解设备是否存在威胁、漏洞、后门等安全隐患。

在本实施例中，在确定与数据包对应的网络入侵行为后，还可以确定预警信息包括与数据包对应的网络入侵行为，并发送预警信息。

其中，可以在流式计算模块中确定预警信息，并将预警信息直接发送给用户，提示设备存在安全隐患。流式计算模块可以采用flink来进行流式计算，flink是第四代大数据计算引擎，其主要的表现为flink对于流计算的支持。flink把所有的任务都当做流来处理，可以支持本地快速迭代，能够实时处理加密流量数据，保证加密流量数据检测的实时性，并提高加密流量数据计算的效率。

在其中一些实施例中，预设特征信息还包括：数据包特征、证书特征；在至少对第一概率信息和第二概率信息进行加权平均计算，得到与数据包对应的最终概率信息之前，还实施如下步骤：

将每个数据包和每个数据包对应的数据包特征和证书特征作为第三流量数据，输入已训练的第三流量预测模型，获得每个数据包对应的第三概率信息，其中，第三概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第三预测概率。

在本实施例中，至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息可以包括：对每个类别对应的网络入侵行为的第一预测概率、第二预测概率以及第三预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率。

在本实施例中，可以基于数据包的时序特征对数据包进行第一网络入侵行为预测，可以基于数据包的流量特征和行为特征对数据包进行第二网络入侵行为预测，可以基于数据包的数据包特征和证书特征对数据包进行第三网络入侵行为预测，得到每个类别对应的网络入侵行为的第一预测概率m1、第二预测概率m2、第三预测概率m3之后，对m1和m2和m3进行加权计算，得到每个类别对应的网络入侵行为的最终预测概率s。

例如，第一预测概率m1的权重比例可以较低设为w1，第二预测概率m2的权重比例为w2，第三预测概率m3的权重比例为w3，以w1为0.8，w2为1，w3为1为例，s＝(w1*m1+w2*m2+w3*m3)/3＝(0.8*m1+1*m2+1*m3)/3，得到每个类别对应的网络入侵行为的最终预测概率s后，筛选得到最终概率信息中概率最高的最终预测概率s，并将该概率最高的最终预测概率s对应的网络入侵行为作为与数据包对应的网络入侵行为，例如最终概率信息中概率最高的最终预测概率为s1，s1对应的网络入侵行为为back类型的dos攻击，则判断该数据包包括back类型的dos攻击。

在本实施例中，基于流量的时序特征对数据包进行第一级检测速度较快，基于流量的数据包特征和证书特征对数据包进行第二级检测即深度包检测误报率较低，同时基于加权平均方式计算数据包的最终概率信息漏报率较低，可以显著提高基于https(超文本传输安全协议，hypertexttransferprotocoloversecuresocketlayer，简称为https)隧道的加密流量数据异常行为的检测准确率。

在其中一些实施例中，利用流式计算模块在多个数据包中检测预设特征信息包括如下步骤：

步骤1、对多个数据包进行预处理，得到多个备选数据包，其中，预处理包括结构化处理。

步骤2、将多个备选数据包输入到分布式消息处理模块进行分类处理，得到对应每个数据包的类别标签。

步骤3、在多个数据包中检测类别标签为实时数据的候选数据包，并利用流式计算模块在候选数据包中检测预设特征信息。

在本实施例中，分布式消息处理模块可以采用flume和/或kafka处理系统，flume和kafka处理系统能够同时支持多个生产者与消费者，保证数据传输的高效性，具备数据分区复制功能，保证数据的可靠性。

在分布式消息处理模块中，可以针对不同类型的数据包进行分类处理，并得到对应每个数据包的类别标签，例如，可以对数据包进行实时或非实时的分类，其中，筛选得到类别为实时数据的数据包，并为其贴上对应的类别标签，将具备类别标签为实时数据的数据包输入流式计算模块，并利用流式计算模块在类别标签为实时数据的数据包中检测预设特征信息。

其中，在将数据包输入分布式消息处理模块前，需要对数据包进行预处理，例如，将非结构化的数据转换为统一格式的结构化数据，对数据包进行预处理的过程也可以在分布式消息处理模块或流式计算模块中进行，提高后续对数据包进行网络入侵行为预测的效率。

在其中一些实施例中，在将数据包输入流式计算模块，得到流式计算模块输出的与数据包对应的预设特征信息之后，方法还包括：将每个数据包、每个数据包对应的预设特征信息以及每个数据包和预设特征信息的对应关系存储到预设数据库中。

在本实施例中，预设数据库可以采用hbase分布式数据库。hbase基于hdfs(分布式文件系统，hadoopdistributedfilesystem，简称为hdfs)作为底层文件系统，实现了列式稀疏存储，可以将数据包、预设特征信息以及数据包和预设特征信息的对应关系存储到hbase分布式数据库中，还可以将产生这类数据包的原因也存储到hbase分布式数据库中。

其中，还可以基于hbase分布式数据库建立检索模块，该检索模块可以采用es(分布式搜索引擎，elasticsearch，简称为es)搜索引擎实现，es搜索引擎可以用于用于对数据包或数据包相关数据的检索，通过将hbase分布式数据库与es搜索引擎结合，可以使得用户更加方便地对数据包或数据包相关数据进行实时查询和分析索引。

在其中一些实施例中，还实施如下步骤：

步骤1、构建第一初始神经网络模型和第二初始神经网络模型；获取多个训练数据包、对应于每个训练数据包的预设特征信息以及对应于每个训练数据包的实际网络入侵行为。

步骤2、将每个训练数据包和每个训练数据包对应的时序特征作为第一训练数据集，输入第一初始神经网络模型，以对应于每个训练数据包的实际网络入侵行为作为监督，更新第一初始神经网络模型中各网络层的连接权值，得到已训练的第一流量预测模型。

步骤3、将每个训练数据包和每个训练数据包对应的流量特征和行为特征作为第二训练数据集，输入第二初始神经网络模型，以对应于每个训练数据包的实际网络入侵行为作为监督，更新第二初始神经网络模型中各网络层的连接权值，得到已训练的第二流量预测模型。

在本实施例中，可以采用循环神经网络作为初始的神经网络模型，循环神经网络具有记忆性、参数共享并且图灵完备，因此能以很高的效率对流量数据的非线性特征进行学习。循环神经网络已被证明并被成功实现数据预测相关的应用，包括数据趋势预测和语音识别。循环神经网络(recurrentneuralnetwork，简称为rnn)，是一类以序列数据为输入，在序列的演进方向进行递归且所有节点按链式连接的递归神经网络。循环神经网络具有记忆性、参数共享并且图灵完备，因此在对序列的非线性特征进行学习时具有一定优势。因此在本实施例中采用循环神经网络来预测数据包存在各种类别的网络入侵行为的概率。

在其中一些实施例中，上述循环神经网络可以为长短期记忆人工神经网络(longshort-termmemory，简称为lstm)。

可以将数据包的流量特征和行为特征作为lstm的输入向量，然后根据经验确定lstm的网络结构，并将特征向量输入到lstm的输入层，lstm开始会做前向传播，从输入层到隐含层和隐含层到隐含层直接进行权值和阈值的计算，得出一个概率信息结果。然后将概率信息结果与实际网络入侵行为进行平均误差计算，判断误差是否在设定的取值范围内。如果在则停止训练，输出概率信息结果。当误差不在规定的范围之内时，lstm会开始进行反向传播，使用反向链式求导的方式来更新各层之间的权值和阈值。再根据更新的权值和阈值进行循环训练，直到训练满足误差或迭代次数，才停止训练。根据训练出来的模型使用测试集数据进行检测，判断模型的可行性和效果。当满足需求时，进行验证集的验证是否判断上线。当不满足时，需要调整深度神经网络的损失函数、隐含层数、神经元个数等参数来优化模型。

本实施例还提供了一种加密流量数据的检测系统，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本申请实施例的加密流量数据的检测系统的结构框图，如图2所示，该系统包括：分布式消息处理模块20，分布式消息处理模块20用于对数据包进行分类处理；流式计算模块21，流式计算模块21用于对分布式消息处理模块20中的数据包进行特征计算，并获取与数据包对应的预设特征信息；预设数据库22，预设数据库22用于存储数据包、与数据包对应的预设特征信息以及数据包和预设特征信息的对应关系；流量检测模块23，流量检测模块23用于执行如上述实施例的加密流量数据的检测方法。

在其中一些实施例中，流量检测模块23还被配置为用于获取加密流量数据，并按时间序列将加密流量数据分成多个数据包；利用流式计算模块21在多个数据包中检测预设特征信息，其中，预设特征信息至少包括以下一种特征：时序特征、流量特征、行为特征；将每个数据包和每个数据包对应的时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个数据包对应的第一概率信息，以及将每个数据包和每个数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，其中，第一概率信息和第二概率信息均包括数据包中存在的多种网络入侵行为的类别及每个类别对应的网络入侵行为的预测概率；至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，并根据最终概率信息确定与数据包对应的网络入侵行为。

在其中一些实施例中，第一概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，第二概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率；流量检测模块23还被配置为用于至少对每个类别对应的网络入侵行为的第一预测概率的第二预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率；在每个类别对应的网络入侵行为的最终预测概率中选取概率最高的最终预测概率，并确定与数据包对应的网络入侵行为包括概率最高的最终预测概率对应的网络入侵行为。

在其中一些实施例中，预设特征信息还包括：数据包特征、证书特征；流量检测模块23还被配置为用于将每个数据包和每个数据包对应的数据包特征和证书特征作为第三流量数据，输入已训练的第三流量预测模型，获得每个数据包对应的第三概率信息，其中，第三概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第三预测概率。

在其中一些实施例中，第一概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第一预测概率，第二概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的第二预测概率；流量检测模块23还被配置为用于对每个类别对应的网络入侵行为的第一预测概率、第二预测概率以及第三预测概率进行加权平均计算，得到每个类别对应的网络入侵行为的最终预测概率，并确定最终概率信息包括多种网络入侵行为类别及每个类别对应的网络入侵行为的最终预测概率。

在其中一些实施例中，流量检测模块23还被配置为用于对多个数据包进行预处理；将预处理后的多个数据包输入到分布式消息处理模块20，对多个数据包进行分类处理，得到对应每个数据包的类别标签；筛选得到类别标签为实时数据的数据包，并将类别标签为实时数据的数据包输入流式计算模块21，利用流式计算模块21在类别标签为实时数据的数据包中检测预设特征信息。

在其中一些实施例中，流量检测模块23还被配置为用于将每个数据包、每个数据包对应的预设特征信息以及每个数据包和预设特征信息的对应关系存储到预设数据库22中。

在其中一些实施例中，流量检测模块23还被配置为用于构建第一初始神经网络模型和第二初始神经网络模型；获取多个训练数据包、对应于每个训练数据包的预设特征信息以及对应于每个训练数据包的实际网络入侵行为；将每个训练数据包和每个训练数据包对应的时序特征作为第一训练数据集，输入第一初始神经网络模型，以对应于每个训练数据包的实际网络入侵行为作为监督，更新第一初始神经网络模型中各网络层的连接权值，得到已训练的第一流量预测模型；将每个训练数据包和每个训练数据包对应的流量特征和行为特征作为第二训练数据集，输入第二初始神经网络模型，以对应于每个训练数据包的实际网络入侵行为作为监督，更新第二初始神经网络模型中各网络层的连接权值，得到已训练的第二流量预测模型。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

本实施例还提供了一种电子装置，图3是根据本申请实施例的电子装置的硬件结构示意图，如图3所示，该电子装置包括存储器304和处理器302，该存储器304中存储有计算机程序，该处理器302被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

具体地，上述处理器302可以包括中央处理器(cpu)，或者特定集成电路(applicationspecificintegratedcircuit，简称为asic)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器304可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器304可包括硬盘驱动器(harddiskdrive，简称为hdd)、软盘驱动器、固态驱动器(solidstatedrive，简称为ssd)、闪存、光盘、磁光盘、磁带或通用串行总线(universalserialbus，简称为usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器304可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器304可在数据处理装置的内部或外部。在特定实施例中，存储器304是非易失性(non-volatile)存储器。在特定实施例中，存储器304包括只读存储器(read-onlymemory，简称为rom)和随机存取存储器(randomaccessmemory，简称为ram)。在合适的情况下，该rom可以是掩模编程的rom、可编程rom(programmableread-onlymemory，简称为prom)、可擦除prom(erasableprogrammableread-onlymemory，简称为eprom)、电可擦除prom(electricallyerasableprogrammableread-onlymemory，简称为eeprom)、电可改写rom(electricallyalterableread-onlymemory，简称为earom)或闪存(flash)或者两个或更多个以上这些的组合。在合适的情况下，该ram可以是静态随机存取存储器(staticrandom-accessmemory，简称为sram)或动态随机存取存储器(dynamicrandomaccessmemory，简称为dram)，其中，dram可以是快速页模式动态随机存取存储器(fastpagemodedynamicrandomaccessmemory，简称为fpmdram)、扩展数据输出动态随机存取存储器(extendeddateoutdynamicrandomaccessmemory，简称为edodram)、同步动态随机存取内存(synchronousdynamicrandom-accessmemory，简称sdram)等。

存储器304可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器302所执行的可能的计算机程序指令。

处理器302通过读取并执行存储器304中存储的计算机程序指令，以实现上述实施例中的任意一种加密流量数据的检测方法。

可选地，上述电子装置还可以包括传输设备306以及输入输出设备308，其中，该传输设备306和上述处理器302连接，该输入输出设备308和上述处理器302连接。

可选地，在本实施例中，上述处理器302可以被设置为通过计算机程序执行以下步骤：

s1，获取加密流量数据，并按时间序列将加密流量数据分成多个数据包。

s2，利用流式计算模块在多个数据包中检测预设特征信息，其中，预设特征信息至少包括以下一种特征：时序特征、流量特征、行为特征。

s3，将每个数据包和每个数据包对应的时序特征作为第一流量数据，输入已训练的第一流量预测模型，获得每个数据包对应的第一概率信息，以及将每个数据包和每个数据包对应的流量特征和行为特征作为第二流量数据，输入已训练的第二流量预测模型，获得每个数据包对应的第二概率信息，其中，第一概率信息和第二概率信息均包括数据包中存在的多种网络入侵行为的类别及每个类别对应的网络入侵行为的预测概率。

s4，至少对第一概率信息和第二概率信息进行数据处理，得到最终概率信息，并根据最终概率信息确定与数据包对应的网络入侵行为。

需要说明的是，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

另外，结合上述实施例中的加密流量数据的检测方法，本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种加密流量数据的检测方法。

本领域的技术人员应该明白，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。