一种加密恶意流量检测方法、装置及电子设备

本发明实施例提供了一种加密恶意流量检测方法、装置及电子设备，方法包括：采集待检测的业务流量，提取业务流量中每一TCP流的特征向量，将提取的特征向量输入到训练后的检测模型，获取检测模型输出的是否属于恶意加密流量的检测结果；训练后的检测模型包括：采用已知恶意加密流量和正常业务流量对支持向量机模型进行训练，获得的检测模型；训练过程中从恶意加密流量和正常业务流量中分别提取每一TCP流的多个维度的特征向量输入支持向量机模型，特征向量包括：与相邻帧请求包时间差、相邻帧回包时间差关联的第一特征向量，与请求包数量、回包数量关联的第二特征向量等。上述方法解决现有技术中传统防火墙对恶意加密流量进行检测效果差的问题。