加密流量检测方法、系统、设备及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种加密流量检测方法、系统、设备及存储介质。


背景技术：

2.随着网络安全防范意识增强，为了保证传输安全，加密通信占据主流，大部分的网络传输流量都采用了安全传输层协议进行加密，但同时又带来了新的安全问题，流量加密在保护隐私的同时也掩饰了非法企图，大多的恶意软件也使用了安全传输层协议进行通信，所以从加密流量中识别出威胁流量，是目前面临的一个难题。


技术实现要素：

3.本技术的主要目的在于提供一种加密流量检测方法、系统、设备及存储介质，旨在解决现有技术中的威胁流量识别效果不佳的技术问题。
4.为实现上述目的，本技术提供一种加密流量检测方法，所述加密流量检测方法包括：
5.在加密流量进入目标访问系统前，获取待访问流量报文，并提取所述待访问流量报文对应的查询域名以及ip访问地址；
6.若所述查询域名和威胁情报库中的域名匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中；
7.当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址；
8.将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息；
9.若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中；
10.若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量。
11.可选地，所述将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量的步骤包括：
12.将所述目标证书信息和所述本地黑名单进行遍历匹配，获得第一匹配结果；
13.若第一匹配结果为匹配失败，则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配，获得第二匹配结果；
14.若第二匹配结果为匹配成功，则确定所述加密流量为威胁流量，并将所述加密流量的目标访问地址存储至所述本地黑名单中。
15.可选地，在所述若所述查询域名和威胁情报库中的域名进行遍历匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中的步骤之前，所述加密流量检测方法还包括：
16.若所述查询域名和所述威胁情报库中的域名遍历匹配失败，则将所述ip访问地址和所述威胁情报库中的ip地址进行遍历匹配；
17.若匹配成功，则将所述ip访问地址对应的查询域名存储至所述本地黑名单中。
18.可选地，所述提取所述加密流量在建立会话连接过程对应的目标证书信息的步骤包括：
19.获取所述加密流量建立会话连接过程中对应的握手信息；
20.对所述握手信息进行解析，获得所述目标证书信息。
21.可选地，在所述若第一匹配结果为匹配失败，则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配，获得第二匹配结果的步骤之后，所述加密流量检测方法还包括：
22.若第二匹配结果为匹配失败，则确定所述加密流量为正常流量，并放行所述加密流量，以进行通讯访问操作。
23.可选地，所述将所述目标访问地址存储至所述本地黑名单中的步骤包括：
24.若所述本地黑名单不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并记录所述目标访问地址对应的命中时间点。
25.可选地，在所述若所述本地黑名单不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并记录所述目标访问地址对应的命中时间点的步骤之后，所述加密流量检测方法包括：
26.检测所述本地黑名单中各访问地址对应的命中时间点；
27.若所述命中时间点超过预设时长，则将超过预设时长对应的访问地址进行删除处理，获得更新后的本地黑名单。
28.本技术还提供一种加密流量检测系统，所述加密流量检测系统为虚拟系统，所述加密流量检测系统包括：
29.第一提取模块，用于在加密流量进入目标访问系统前，获取待访问流量报文，并提取所述待访问流量报文对应的查询域名以及ip访问地址；
30.第一匹配模块，用于若所述查询域名和威胁情报库中的域名匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中；
31.第二提取模块，用于当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址；
32.第二匹配模块，用于将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息；
33.确定模块，用于若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中；
34.第三匹配模块，用于若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量。
35.可选地，所述第三匹配模块还用于：
36.将所述目标证书信息和所述本地黑名单进行遍历匹配，获得第一匹配结果；
37.若第一匹配结果为匹配失败，则将所述目标证书信息与所述威胁情报库中的证书
信息进行遍历匹配，获得第二匹配结果；
38.若第二匹配结果为匹配成功，则确定所述加密流量为威胁流量，并将所述加密流量的目标访问地址存储至所述本地黑名单中。
39.可选地，所述加密流量检测系统还用于：
40.若所述查询域名和所述威胁情报库中的域名遍历匹配失败，则将所述ip访问地址和所述威胁情报库中的ip地址进行遍历匹配；
41.若匹配成功，则将所述ip访问地址对应的查询域名存储至所述本地黑名单中。
42.可选地，所述加密流量检测系统还用于：
43.获取所述加密流量建立会话连接过程中对应的握手信息；
44.对所述握手信息进行解析，获得所述目标证书信息。
45.可选地，所述加密流量检测系统还用于：
46.若第二匹配结果为匹配失败，则确定所述加密流量为正常流量，并放行所述加密流量，以进行通讯访问操作。
47.可选地，所述加密流量检测系统还用于：
48.若所述本地黑名单不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并记录所述目标访问地址对应的命中时间点。
49.可选地，所述加密流量检测系统还用于：
50.检测所述本地黑名单中各访问地址对应的命中时间点；
51.若所述命中时间点超过预设时长，则将超过预设时长对应的访问地址进行删除处理，获得更新后的本地黑名单。
52.本技术还提供一种加密流量检测设备，所述加密流量检测设备为实体设备，所述加密流量检测设备包括：存储器、处理器以及存储在所述存储器上的加密流量检测程序，所述加密流量检测程序被所述处理器执行实现如上述的加密流量检测方法的步骤。
53.本技术还提供一种存储介质，所述存储介质为计算机可读存储介质，所述计算机可读存储介质上存储加密流量检测程序，所述加密流量检测程序被处理器执行实现如上述的加密流量检测方法的步骤。
54.本技术提供了一种加密流量检测方法、系统、设备及存储介质，本技术首先在加密流量进入目标访问系统前，获取待访问流量报文，并提取所述待访问流量报文对应的查询域名以及ip访问地址，进而若所述查询域名和威胁情报库中的域名匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中，实现了在加密流量进入到目标访问系统前，先对待访问流量报文进行解析获得对应的查询域名以及ip访问地址，并将所述查询域名和威胁情报库中的域名遍历匹配，以将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中，从而使得当后续加密流量进入访问系统后，即可基于加密流量的访问地址和本地黑名单进行快速匹配，进一步地，当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址，进而将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息，进一步地，若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中，以及若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所
述加密流量是否为威胁流量，实现了通过先将加密流量的目标访问地址分别依次和本地黑名单以及威胁情报库进行匹配，从而通过目标访问地址快速识别威胁流量，进而当通过访问地址匹配失败时，根据加密流量在建立会话连接过程对应的目标域名，进一步依次和本地黑名单以及威胁情报库进行匹配，可以对加密流量中的威胁流量进行有效识别，并且加强了网络中当前加密流量的安全监督。
附图说明
55.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
56.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域默认技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
57.图1为本技术加密流量检测方法第一实施例的流程示意图；
58.图2为本技术加密流量检测方法第二实施例的流程示意图；
59.图3为本技术实施例方案涉及的硬件运行环境的加密流量检测设备结构示意图；
60.图4为本技术加密流量检测系统的功能模块示意图。
61.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
62.应当理解，此处所描述的具体实施例仅用以解释本技术，并不用于限定本技术。
63.本技术实施例提供一种加密流量检测方法，在本技术加密流量检测方法的第一实施例中，参照图1，所述加密流量检测方法包括：
64.步骤s10，在加密流量进入目标访问系统前，获取待访问流量报文，并提取所述待访问流量报文对应的查询域名以及ip访问地址；
65.在本实施例中，具体地，在加密流量进入目标访问系统前，获取待访问流量报文，其中，所述待访问流量报文为dns流量报文，所述dns流量报文采用的是明文传输，因此，可通过dns服务器对dns流量进行解析，获得查询域名以及的ip访问地址。
66.步骤s20，若所述查询域名和威胁情报库中的域名匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中；
67.将所述查询域名和威胁情报库中的域名进行遍历匹配，若匹配成功，则将所述查询域名对应的ip访问地址存储至所述本地黑名单中，若所述本地黑名单中已存在所述ip访问地址，则更新所述ip访问地址的命中时间点，若不存在，则将所述ip访问地址存储至所述本地黑名单中，并记录当前命中时间点，并且发出警报信息，从而使得在后续识别该ip访问地址，即可快速检测到所述ip访问地址对应的流量为威胁流量。
68.其中，在所述若所述查询域名和威胁情报库中的域名进行遍历匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中的步骤之前，所述加密流量检测方法还包括：
69.步骤a10，若所述查询域名和所述威胁情报库中的域名遍历匹配失败，则将所述ip访问地址和所述威胁情报库中的ip地址进行遍历匹配；
70.步骤a20，若匹配成功，则将所述ip访问地址对应的查询域名存储至所述本地黑名单中。
71.在本实施例中，具体地，若所述查询域名和所述威胁情报库中的域名遍历匹配失败，则将所述待访问流量报文的ip访问地址和所述威胁情报库中的ip进行匹配，若匹配成功，则将所述ip访问地址对应的查询域名存储至所述本地黑名单中。
72.需要说明的是，在ip访问地址或者查询域名在存储至所述本地黑名单前，都需要先检测所述本地黑名单中是否存储有对应的ip访问地址或者查询域名，若存在，则更新ip访问地址和查询域名对应的命中时间点，若不存在，则将所述ip访问地址或者查询域名在存储至所述本地黑名单，并将当前时间点作为其对应的命中时间点。
73.步骤s30，当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址；
74.在本实施例中，需要说明的是，所述加密流量为在进行数据传输通讯过程中使用安全传输层协议进行加密的数据流量，从而确保两个通信应用程序之间提供保密性和数据完整性，所述安全传输层协议包括ssl协议(secure socket layer)、tls协议(transport layer security)等协议，在本技术，优选地，选取tls协议进行加密。
75.当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址，具体地，当所述加密流量进入目标访问系统后，首先提取所述加密流量对应的目标访问地址ip。
76.步骤s40，将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息；
77.在本实施例中，需要说明的是，所述本地黑名单中存储有异常网站的ip地址、域名以及证书信息，所述威胁情报库中存储有病毒家族的ip地址、域名以及证书信息。
78.将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息，具体地，先将所述目标访问地址所述预先配置的本地黑名单进行遍历匹配，当未能从所述本地黑名单中查询出与所述目标访问地址时，则将所述目标访问地址所述威胁情报库进行遍历匹配，并且提取所述加密流量建立会话连接过程中对应的握手信息，其中，所述握手信息包括服务器端握手信息和/或者客户端握手信息，在本技术中，优选地，选取客户端握手信息，进而在所述客户端握手信息进行提取所述目标域名，此外，当在本地黑名单或在威胁情报库查询到所述目标访问域名时，则直接则确定所述加密流量为威胁流量，并发出警报信息。
79.其中，所述提取所述加密流量在建立会话连接过程对应的目标证书信息的步骤包括：
80.步骤s21，获取所述加密流量建立会话连接过程中对应的握手信息；
81.步骤s22，对所述握手信息进行解析，获得所述目标证书信息。
82.在本实施例中，需要说明的是，客户端和服务器端建立会话连接过程中需要进行三次握手原则，客户端需要发出客户端握手信息，当服务器端接收到客户端握手信息需要返回服务器端的握手信息，此外，服务器发一个证书给客户端，该证书用于向客户端确认服务器的身份，如果配置服务器需要验证服务器的身份，会发送该消息(多数应用都需要服务器端身份验证)。
83.具体地，在建立会话连接过程，也即，在握手过程中获取所述握手信息，对所述握
手信息进行解析，获得所述目标证书信息。
84.步骤s50，若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中；
85.在本实施例中，若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中，具体地，若在所述本地黑名单库或所述威胁情报库匹配成功所述目标访问地址，则证明所述目标访问地址为黑地址，进而确定所述加密流量为威胁流量，进一步地，将在所述握手信息提取出来的目标证书信息存储至所述本地黑名单中。
86.步骤s60，若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量。
87.在本实施例中，若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量，具体地，若所述目标访问地址匹配失败，则将从握手信息中提取出来的目标证书信息和本地黑名单进行匹配，若未能在所述本地黑名单中匹配到所述目标证书信息，则将所述目标证书信息和所述威胁情报库进行匹配，若匹配成功，则确定所述加密流量为威胁流量，进而阻止所述加密流量的访问，并发出警报信息，并且将所述加密流量的目标访问地址添加到所述本地黑名单中，以及记录所述目标访问地址的命中时间点。
88.其中，所述将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量的步骤包括：
89.步骤s61，将所述目标证书信息和所述本地黑名单进行遍历匹配，获得第一匹配结果；
90.步骤s62，若第一匹配结果为匹配失败，则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配，获得第二匹配结果；
91.其中，在所述若第一匹配结果为匹配失败，则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配，获得第二匹配结果的步骤之后，所述加密流量检测方法还包括：
92.步骤b10，若第二匹配结果为匹配失败，则确定所述加密流量为正常流量，并放行所述加密流量，以进行通讯访问操作。
93.在本实施例中，具体地，若第二匹配结果为匹配失败，也即，所述威胁情报库不存在所述目标证书信息，则证明所述加密流量为正常流量，放行所述加密流量，以进行和所述目标访问系统的通讯访问操作。
94.步骤s63，若第二匹配结果为匹配成功，则确定所述加密流量为威胁流量，并将所述加密流量的目标访问地址存储至所述本地黑名单中。
95.在本实施例中，具体地，将所述目标证书信息和所述本地黑名单进行遍历匹配，获得第一匹配结果,若所述第一匹配结果为匹配成功，则直接将所述加密流量的目标访问地址存储至所述本地黑名单中，若所述第一匹配结果为匹配失败，则将所述目标证书信息和所述威胁情报库进行遍历匹配，若匹配成功，则确定所述加密流量为威胁流量，进而将所述加密流量对应的目标访问地址添加至本地黑名单中，并发出警报信息，从而使得当再次检
测到该目标访问地址，直接可通过本地黑名单进行匹配检测，提高检测识别效率，若匹配失败，则确定所述加密流量为正常流量，进而放行所述加密流量以进行通信访问操作。
96.其中，所述将所述目标访问地址存储至所述本地黑名单中的步骤包括：
97.步骤c10，若所述本地黑名单不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并记录所述目标访问地址对应的命中时间点。
98.在本实施例中，具体地，若匹配成功，则确定所述加密流量为威胁流量，进而需存储所述加密流量对应的目标访问地址，若当前本地黑名单中不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并将当前检测的时间点作为所述目标访问地址对应的命中时间点，此外，若当前本地黑名单中存在所述目标访问地址，则更新所述目标访问地址对应的命中时间点。
99.本技术实施例提供了一种加密流量检测方法，本技术实施例首先在加密流量进入目标访问系统前，获取待访问流量报文，并提取所述待访问流量报文对应的查询域名以及ip访问地址，进而若所述查询域名和威胁情报库中的域名匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中，实现了在加密流量进入到目标访问系统前，先对待访问流量报文进行解析获得对应的查询域名以及ip访问地址，并将所述查询域名和威胁情报库中的域名遍历匹配，以将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中，从而使得当后续加密流量进入访问系统后，即可基于加密流量的访问地址和本地黑名单进行快速匹配，进一步地，当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址，进而将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息，进一步地，若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中，以及若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量，实现了通过先将加密流量的目标访问地址分别依次和本地黑名单以及威胁情报库进行匹配，从而通过目标访问地址快速识别威胁流量，进而当通过访问地址匹配失败时，根据加密流量在建立会话连接过程对应的目标域名，进一步依次和本地黑名单以及威胁情报库进行匹配，可以对加密流量中的威胁流量进行有效识别，并且加强了网络中当前加密流量的安全监督。
100.进一步地，参照图2，基于本技术中第一实施例，在本技术的另一实施例中，在所述若所述本地黑名单不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并记录所述目标访问地址对应的命中时间点的步骤之后，所述加密流量检测方法包括：
101.步骤d11，检测所述本地黑名单中各访问地址对应的命中时间点；
102.在本实施例中，需要说明的是，所述命中时间点为访问地址进行匹配成功对应的时间点，例如，访问地址a存储在本地黑名单中，进而将检测到访问地址a对应的威胁流量时，与本地黑名单进行匹配，进而将访问地址a对应的命中时间点更新为匹配成功对应的当前时间点，若将检测到访问地址b对应的威胁流量时，而访问地址b之前未存储在本地黑名单，进而将访问地址b添加至本地黑名单中，并记录访问地址b当前命中时间点。
103.步骤d12，若所述命中时间点超过预设时长，则将超过预设时长对应的访问地址进
行删除处理，获得更新后的本地黑名单。
104.在本实施例中，具体地，若所述命中时间点超过预设时长，则证明存在较长的时间为检测到该访问地址，也即，超过预设时长对应的访问地址，进行删除处理，获得更新后的本地黑名单，从而使得缓存在本地黑名单中的访问地址均是近期识别威胁流量的ip地址，防止缓存在本地黑名单的访问地址过多，减少系统的缓存空间，同时也加快本地黑名单的访问地址的匹配识别效率。
105.参照图3，图3是本技术实施例方案涉及的硬件运行环境的加密流量检测设备结构示意图。
106.如图3所示，该加密流量检测设备可以包括：处理器1001，例如cpu，存储器1005，通信总线1002。其中，通信总线1002用于实现处理器1001和存储器1005之间的连接通信。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
107.可选地，该加密流量检测设备还可以包括矩形用户接口、网络接口、相机、rf(radio frequency，射频)电路，传感器、音频电路、wifi模块等等。矩形用户接口可以包括显示屏(display)、输入子模块比如键盘(keyboard)，可选矩形用户接口还可以包括标准的有线接口、无线接口。网络接口可选的可包括标准的有线接口、无线接口(如wifi接口)。
108.本领域技术人员可以理解，图3中示出的加密流量检测设备结构并不构成对加密流量检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
109.如图3所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块以及加密流量检测程序。操作系统是管理和控制加密流量检测设备硬件和软件资源的程序，支持加密流量检测程序以及其它软件和/或程序的运行。网络通信模块用于实现存储器1005内部各组件之间的通信，以及与加密流量检测系统中其它硬件和软件之间通信。
110.在图3所示的加密流量检测设备中，处理器1001用于执行存储器1005中存储的加密流量检测程序，实现上述任一项所述的加密流量检测方法的步骤。
111.本技术加密流量检测设备具体实施方式与上述加密流量检测方法各实施例基本相同，在此不再赘述。
112.此外，请参照图4，图4是本技术加密流量检测系统的功能模块示意图，本技术还提供一种加密流量检测系统，所述加密流量检测系统包括：
113.第一提取模块，用于在加密流量进入目标访问系统前，获取待访问流量报文，并提取所述待访问流量报文对应的查询域名以及ip访问地址；
114.第一匹配模块，用于若所述查询域名和威胁情报库中的域名匹配成功，则将所述查询域名对应的ip访问地址存储至预先配置的本地黑名单中；
115.第二提取模块，用于当加密流量进入目标访问系统后，提取所述加密流量对应的目标访问地址；
116.第二匹配模块，用于将所述目标访问地址分别与所述本地黑名单以及所述威胁情报库进行匹配，并提取所述加密流量在建立会话连接过程对应的目标证书信息；
117.确定模块，用于若所述目标访问地址匹配成功，则确定所述加密流量为威胁流量，并将所述目标证书信息存储至所述本地黑名单中；
118.第三匹配模块，用于若所述目标访问地址匹配失败，则将所述目标证书信息分别与所述本地黑名单以及所述威胁情报库进行匹配，并根据匹配结果确定所述加密流量是否为威胁流量。
119.可选地，所述第三匹配模块还用于：
120.将所述目标证书信息和所述本地黑名单进行遍历匹配，获得第一匹配结果；
121.若第一匹配结果为匹配失败，则将所述目标证书信息与所述威胁情报库中的证书信息进行遍历匹配，获得第二匹配结果；
122.若第二匹配结果为匹配成功，则确定所述加密流量为威胁流量，并将所述加密流量的目标访问地址存储至所述本地黑名单中。
123.可选地，所述加密流量检测系统还用于：
124.若所述查询域名和所述威胁情报库中的域名遍历匹配失败，则将所述ip访问地址和所述威胁情报库中的ip地址进行遍历匹配；
125.若匹配成功，则将所述ip访问地址对应的查询域名存储至所述本地黑名单中。
126.可选地，所述加密流量检测系统还用于：
127.获取所述加密流量建立会话连接过程中对应的握手信息；
128.对所述握手信息进行解析，获得所述目标证书信息。
129.可选地，所述加密流量检测系统还用于：
130.若第二匹配结果为匹配失败，则确定所述加密流量为正常流量，并放行所述加密流量，以进行通讯访问操作。
131.可选地，所述加密流量检测系统还用于：
132.若所述本地黑名单不存在所述目标访问地址，则将所述目标访问地址存储至所述本地黑名单中，并记录所述目标访问地址对应的命中时间点。
133.可选地，所述加密流量检测系统还用于：
134.检测所述本地黑名单中各访问地址对应的命中时间点；
135.若所述命中时间点超过预设时长，则将超过预设时长对应的访问地址进行删除处理，获得更新后的本地黑名单。
136.本技术加密流量检测系统的具体实施方式与上述加密流量检测方法各实施例基本相同，在此不再赘述。
137.本技术实施例提供了一种存储介质，所述存储介质为计算机可读存储介质，且所述计算机可读存储介质存储有一个或者一个以上程序，所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述任一项所述的加密流量检测方法的步骤。
138.本技术计算机可读存储介质具体实施方式与上述加密流量检测方法各实施例基本相同，在此不再赘述。
139.以上仅为本技术的优选实施例，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利处理范围内。