一种基于攻击链视角的加密流量威胁检测方法和系统

本发明公开了一种基于攻击链视角的加密流量威胁检测方法和系统，涉及网络安全技术领域，包括采集加密流量，提取加密流量的网络身份属性、加密属性、时间和长度属性，得到所述加密流量的第一行为特征向量；计算所述第一行为特征向量中各属性的权重值，基于所述权重值对所述加密流量进行聚类，得到会话；根据历史攻击链，计算所述第一行为特征向量与所述历史攻击链中加密流量的第二行为特征向量的相关性，根据所述相关性判断所述会话是否为恶意会话；当检测到恶意会话时，执行其恶意等级所对应的告警动作，并发起主动阻断。采用本发明实施例，能够在不进行解密的前提下实现攻击链全生命周期的检测覆盖，有效对网络加密流量进行分析和威胁检测。