CN113194068A

CN113194068A - 基于卷积神经网络的恶意加密流量检测方法及装置

Info

Publication number: CN113194068A
Application number: CN202110340432.7A
Authority: CN
Inventors: 刘叶; 兰亭洋; 王智民; 王高杰
Original assignee: Beijing 6Cloud Technology Co Ltd; Beijing 6Cloud Information Technology Co Ltd
Current assignee: Beijing 6Cloud Technology Co Ltd; Beijing 6Cloud Information Technology Co Ltd
Priority date: 2021-03-30
Filing date: 2021-03-30
Publication date: 2021-07-30

Abstract

本发明实施例涉及网络安全技术领域，公开了一种基于卷积神经网络的恶意加密流量检测方法及装置。其中一种基于卷积神经网络的恶意加密流量检测方法，所述检测方法包括：确定检测特征；以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵；将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。本发明提供的实施方式能够提升恶意加密流量的识别效率。

Description

基于卷积神经网络的恶意加密流量检测方法及装置

技术领域

本发明涉及网络安全技术领域，具体地涉及一种基于卷积神经网络的恶意加密流量检测方法、一种基于卷积神经网络的恶意加密流量检测装置以及一种电子设备。

背景技术

为了保证数据更安全的在网络中进行传输，越来越多的网络流量开始使用HTTPS进行加密，然而恶意软件也会利用加密技术进行恶意活动，在现网的加密流量中检测出恶意加密流量信息具有重大的理论和现实意义。

由于在现实场景网络中的加密数据数据量很大，以及存在数据不稳定的因素，所以保证恶意加密流量检测的准确率和效率成为亟需要关注的问题，本文基于大量特征提取及处理工作和模型调优来提升检测的准确率，以及将模型应用在分布式平台以提升其数据处理效率。

对于恶意加密流量，其误报率和漏报率较高，准确率较低，在安全行业中，漏报和误报对后续的问题处理都有着很大的影响。并且在数据量较大的情况下，检测效率较低，使得检测有延迟。

发明内容

本发明实施例的目的是提供一种基于卷积神经网络的恶意加密流量检测方法、一种基于卷积神经网络的恶意加密流量检测装置以及一种电子设备。

为了实现上述目的，本发明第一方面提供一种基于卷积神经网络的恶意加密流量检测方法，所述检测方法包括：确定检测特征；以五元组为单位提取检测特征，将提取的检测特征规范化为二维数据矩阵；将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。

优选的，所述确定检测特征，包括：选择TLS协议过程中的特征报文；选择所述特征报文中的参数特征；所述参数特征包括加密套件特征，扩展特征，域名特征、证书特征，公钥特征、统计特征和计算特征中的至少一者。

优选的，以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵，包括：将提取的每一组检测特征为列，并进行列方向的归一化。

优选的，所述特征权重确定模块包括：长度为所述二维数据矩阵列数的第一全连接层，以及位于所述全连接层后的softmax激活函数；所述特征选择模块被配置为：将所述特征权重确定模块输出的权重和输入的二维数据矩阵的相对应的列分别相乘，得到经过特征选择后的输出；所述特征判别模块包括：数个卷积池化块、一维的池化层、激活函数、扁平层和第二全连接层；所述卷积池化块中包括卷积核大小为x的一维卷积，卷积核数量为n；所述卷积池化块的个数根据所述特征选择模块输出的数据长度设置；所述扁平层用于将所述卷积池化块的输出进行扁平化后，输入所述第二全连接层；所述激活函数模块包括sigmoid激活函数。

优选的，训练好的卷积神经网络，通过以下步骤得到：构建包括所述特征权重确定模块、特征选择模块、特征判别模块和激活函数模块的卷积神经网络；设置所述卷积神经网络的训练轮数X；将训练集输入所述卷积神经网络中进行训练，将预测错误的数据进行保存，并用验证集验证所述卷积神经网络的检测准确性；将预测错误的数据加在所述训练集上，重新进行训练，并在训练之后用验证集验证检测准确性；重复上述过程，直到训练轮数达到所述训练轮数X；采用所述训练轮数中检测准确性最高的卷积神经网络，作为所述训练好的卷积神经网络。

优选的，所述训练集中的训练样本采用以下步骤进行样本增广：确定一个训练样本X_i以及与所述训练样本X_i具有近邻关系的K个训练样本；从所述K个训练样本随机选择一个训练样本X_i(nn)，并同时生成一个0到1之间的随机数

合成一个新样本

重复从所述K个训练样本随机选择一个训练样本X_i(nn)，并同时生成一个0到1之间的随机数

成一个新样本

的步骤，每次得到一个新样本。

优选的，所述检测方法还包括：采用贝叶斯优化对所述训练好的卷积神经网络中的参数进行优化。

在本发明的第二方面，还提供了一种基于卷积神经网络的恶意加密流量检测装置，所述检测装置包括：特征确定模块，用于确定检测特征；矩阵构建模块，用于以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵；检测模型模块，用于将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；以及结果确定模块，用于根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。

在本发明的第三方面，还提供了一种电子设备，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现前述的基于卷积神经网络的恶意加密流量检测方法。

优选的，所述电子设备为防火墙或服务器。

本发明第四方面提供一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行上述的基于卷积神经网络的恶意加密流量检测方法。

本发明第五方面提供一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现上述的基于卷积神经网络的恶意加密流量检测方法。

上述技术方案提供的方法和装置，具有以下有益效果：

半监督、数据插值等使得数据更加丰富，模型优化使得结果更加准确。以及神经网络自动选择特征并使用卷积进行计算，在有效减少参数个数的同时还可提高准确率，使得能够快速准确的得出结果。

本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施例，但并不构成对本发明实施例的限制。在附图中：

图1示意性示出了根据本发明实施例的基于卷积神经网络的恶意加密流量检测方法的流程示意图；

图2示意性示出了根据本发明实施例的基于卷积神经网络的恶意加密流量检测装置的结构示意图。

具体实施方式

以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。

图1示意性示出了根据本发明实施例的基于卷积神经网络的恶意加密流量检测方法的流程示意图，如图1所示，一种基于卷积神经网络的恶意加密流量检测方法，所述检测方法包括：

S01，确定检测特征；

在加密通信中，通信双方通过TLS协议来协商双方加密的算法与密钥，从而为后续传输的信息进行加密，在正式进行加密信息传输之前，这个协商过程是明文传输的，所以尽可能的利用协商过程中的信息来进行特征的提取，是本方法对恶意加密流量的检测的基础。在本方法中首先基于TLS协议过程进行特征的提取，整个过程大概分为：ClientHello、ServerHello、ClientKeyExchange、ChangeCipherSpec、ApplicationData。提取的特征主要分为几个大类，ClientHello中的加密套件相关特征，扩展特征，域名特征，ClientKeyExchange中的证书特征，公钥特征以及其它的统计和计算特征

S02，以五元组为单位提取检测特征，将提取的检测特征规范化为二维数据矩阵；

一般进行上述特征处理的时候首先以五元组(源IP，目的IP，源端口，目的端口，协议)为单位提取出上述特征，然后以四元组(源IP，目的IP，目的端口，协议)对数据进行聚合，聚合即求平均，然后将聚合后的数据输入到机器学习模型中。由于特征数较多，通常会在训练前进行特征选择。本文提出一种CNN网络结构自动学习上述特征的重要性，且不单纯的以平均的形式聚合上述五元组，而让网络自动去学习五元组之间的关系，从而最后输出结果。

S03，将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；

卷积神经网络包括若干卷积层、池化层、全连接层以及激活函数。通过设置对应的功能层以实现模块所对应的功能。其中特征权重确定模块用于输出检测特征维度上的权值；特征选择模块用于对检测特征进行筛选，特征判别模块用于识别出与训练样本具有相似性的输入数据，激活函数模块用于对检测结果进行处理后输出。

S04，根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。本实施方式选择合适的激活函数，能够输出检测结果，该激活函数根据实际场景确定。

通过以上实施方式，该卷积神经网络将进行自动特征选择之后的数据输入进CNN层，每一层的CNN在列方向上都进行了卷积和池化，其作用为将列方向的数据按一定的权值进行信息融合，在最后输出融合了所有五元组信息的向量，将这五元组的信息进行展开，输入进dense层，计算每一个变量的重要性，最终通过sigmoid输出二分类中相关的概率值。本实施方式能够从数据包的大量特征中检测出具有标识性的数据特征，从而实现对恶意加密流量的识别。

在本发明提供的一种实施方式中，所述确定检测特征，包括：选择TLS协议过程中的特征报文；选择所述特征报文中的参数特征；所述参数特征包括加密套件特征，扩展特征，域名特征、证书特征，公钥特征、统计特征和计算特征中的至少一者。具体的，在本方法中首先基于TLS协议过程进行特征的提取，整个过程大概分为：ClientHello、ServerHello、ClientKeyExchange、ChangeCipherSpec、ApplicationData。提取的特征主要分为几个大类，ClientHello中的加密套件相关特征，扩展特征，域名特征，ClientKeyExchange中的证书特征，公钥特征以及其它的统计和计算特征。具体特征如下：

在本发明提供的一种实施方式中，以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵，包括：将提取的每一组检测特征为列，并进行列方向的归一化。现网流量下抓取包含正常和恶意信息的pcap数据包，从数据包中提取上述所述相关特征，构造训练集和测试集。一般进行上述特征处理的时候首先以五元组(源IP，目的IP，源端口，目的端口，协议)为单位提取出上述特征，然后以四元组(源IP，目的IP，目的端口，协议)对数据进行聚合，聚合即求平均，然后将聚合后的数据输入到机器学习模型中。由于特征数较多，通常会在训练前进行特征选择。本文提出一种CNN网络结构自动学习上述特征的重要性，且不单纯的以平均的形式聚合上述五元组，而让网络自动去学习五元组之间的关系，从而最后输出结果。首先针对每一个四元组，收集其相关的五元组流若干条，以五元组为单位提取其上述相关特征，将五元组按顺序进行排列，构造一个二维数据矩阵，对数据进行列方向的归一化。

在本发明提供的一种实施方式中，所述特征权重确定模块包括：长度为所述二维数据矩阵列数的第一全连接层，以及位于所述全连接层后的softmax激活函数；所述特征选择模块被配置为：将所述特征权重确定模块输出的权重和输入的二维数据矩阵的相对应的列分别相乘，得到经过特征选择后的输出；所述特征判别模块包括：数个卷积池化块、一维的池化层、激活函数、扁平层和第二全连接层；所述卷积池化块中包括卷积核大小为x的一维卷积，卷积核数量为n；所述卷积池化块的个数根据所述特征选择模块输出的数据长度设置；所述扁平层用于将所述卷积池化块的输出进行扁平化后，输入所述第二全连接层；所述激活函数模块包括sigmoid激活函数。包含以上模块的训练好的卷积神经网络对应地对输入数据做如下处理：

将数据输入到网络中，数据首先经过一个长度为数据维度长度大小的dense层，然后通过softmax激活函数，将其输出作为输入数据特征维度上的权值。将上述输出和输入数据的相对应的列分别相乘，得到经过一定特征选择后的输出，然后将其输出经过数个卷积池化块(block),block中包括卷积核大小为x的一维卷积，卷积核数量为n，然后经过一维的池化层和激活函数，其输出作为一个block块的输出，根据数据长度的大小设置相应的block块的个数。将最后block块的输出进行扁平化(flatten)，然后输入进dense层，经过sigmoid激活函数，获取最后的输出，输出为是正常还是恶意流量的概率。

在本发明提供的一种实施方式中，训练好的卷积神经网络，通过以下步骤得到：构建包括所述特征权重确定模块、特征选择模块、特征判别模块和激活函数模块的卷积神经网络；设置所述卷积神经网络的训练轮数X；将训练集输入所述卷积神经网络中进行训练，将预测错误的数据进行保存，并用验证集验证所述卷积神经网络的检测准确性；将预测错误的数据加在所述训练集上，重新进行训练，并在训练之后用验证集验证检测准确性；重复上述过程，直到训练轮数达到所述训练轮数X；采用所述训练轮数中检测准确性最高的卷积神经网络，作为所述训练好的卷积神经网络。采用本实施方式中的步骤得到训练好的卷积神经网络，具有训练效果好的优点。

在本发明提供的一种实施方式中，因为现网流量中提取出的恶意和正常的数据大小非常不平衡，所述训练集中的训练样本采用以下步骤进行样本增广：进行模型训练之前，对恶意样本数据进行了过采样，过采样的方法选用了smote插值法。设训练集的一个少数类的样本数为T，那么SMOTE算法将为这个少数类合成NT个新样本。这里要求N必须是正整数，如果给定的N<1那么算法将“认为”少数类的样本数T＝NT，并将强制N＝1。考虑该少数类的一个样本i，其特征向量为x_i,i∈{1,...,T}。首先从该少数类的全部T个样本中找到样本x_i的k个近邻(例如用欧氏距离)，记为x_i(near),near∈{1,...,T}。然后从这k个近邻中随机选择一个样本x_i(nn)，再生成一个0到1之间的随机数

从而合成一个新样本

将前一步骤重复进行N次，从而可以合成N个新样本：x_inew,new∈1,...,N，那么对全部的T个少数类样本进行上述操作，便可为该少数类合成NT个新样本。

在本发明提供的一种实施方式中，所述检测方法还包括：采用贝叶斯优化对所述训练好的卷积神经网络中的参数进行优化。具体的，本文采用贝叶斯优化对模型进行优化，其基本思想为：基于数据使用贝叶斯定理估计目标函数的后验分布，然后再根据分布选择下一个采样的超参数组合。它充分利用了前一个采样点的信息，其优化的工作方式是通过对目标函数形状的学习，并找到使结果向全局最大提升的参数。具体优化原理过程如下：

1、假设超参数与优化的损失函数之间存在函数关系，则需要在超参数组合内找到目标函数的最优解：

其中：x表示待优化的参数；X表示待优化的参数集合；f(x)表示目标函数。

2、选择一个先验函数表示被优化函数的分布假设，这里选用高斯过程来作为其分布函数，构建一个采集函数用于从模型后验分布中确定下一个需要评估的点，可供选择的采集函数有POI(probability of improvement)、EI(Expected Improvement)、UCB等，这里选用POI函数作为其采集函数，其公式为：

其中：f(X)为X的目标函数值,f(X⁺)为到目前未知最优的X的目标函数值，μ(x)，σ(x)分别是高斯过程中所得到的目标函数的均值和方差，ξ为trade-off系数。

3、首先初始化x,f(x)，构造并获取数据集D:

D＝(x₁,f(x₁)),(x₂,f(x₂)),...,(x_n,f(x_n))

4、根据最大化采集函数来选择下一个最有“潜力”的评估点x_t：

x_t＝argmax_x∈XPOI(x|D_t-1)

5、根据选择的评估点x_t评估目标函数值f(x_t)，把新得到的输入观测值对(x_t,f(x_t))添加到历史观测集D中,更新概率代理模型即高斯函数，为下一次迭代做准备，提前预设好迭代次数N，当迭代次数达到N时，停止迭代，具体流程如图一所示。在模型中优化的参数为：learning rate、batch size等。根据优化器最终的优化结果，确定模型的参数，从而构造并训练模型。

图2示意性示出了根据本发明实施例的基于卷积神经网络的恶意加密流量检测装置的结构示意图，如图2所示。一种基于卷积神经网络的恶意加密流量检测装置，所述检测装置包括：特征确定模块，用于确定检测特征；矩阵构建模块，用于以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵；检测模型模块，用于将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；以及结果确定模块，用于根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。

上述的基于卷积神经网络的恶意加密流量检测装置中的各个功能模块的具体限定可以参见上文中对于基于卷积神经网络的恶意加密流量检测方法的限定，在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在本发明提供的一种实施方式中，还提供了一种电子设备，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现前述的基于卷积神经网络的恶意加密流量检测方法。此处的控制模块或处理器具有数值计算和逻辑运算的功能，其至少具有数据处理能力的中央处理器CPU、随机存储器RAM、只读存储器ROM、多种I/O口和中断系统等。处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来实现前述的方法。存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

在本发明提供的一种实施方式中，所述电子设备为防火墙或服务器。前述的基于卷积神经网络的恶意加密流量检测方法作为应用程序或系统的一部分运行于防火墙或服务器中。当防火墙或服务器中运行有前述的基于卷积神经网络的恶意加密流量检测方法时，能够对输入或者经过该设备的加密流量进行快速识别，为拦截或过滤恶意加密流量提供基础。适合在对性能要求比较高的应用场合，以及分布式平台中。

在本发明提供的一种实施方式中，提供了一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行上述的基于卷积神经网络的恶意加密流量检测方法。

在本发明提供的一种实施方式中，提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现上述的基于卷积神经网络的恶意加密流量检测方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种基于卷积神经网络的恶意加密流量检测方法，其特征在于，所述检测方法包括：

确定检测特征；

以五元组为单位提取检测特征，将提取的检测特征规范化为二维数据矩阵；

将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；

根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。

2.根据权利要求1所述的检测方法，其特征在于，所述确定检测特征，包括：

选择TLS协议过程中的特征报文；

选择所述特征报文中的参数特征；

所述参数特征包括加密套件特征、扩展特征、域名特征、证书特征、公钥特征、统计特征和计算特征中的至少一者。

3.根据权利要求1所述的检测方法，其特征在于，以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵，包括：

将提取的每一组检测特征为列，并进行列方向的归一化。

4.根据权利要求3所述的检测方法，其特征在于，

所述特征权重确定模块包括：长度为所述二维数据矩阵列数的第一全连接层，以及位于所述全连接层后的softmax激活函数；

所述特征选择模块被配置为：将所述特征权重确定模块输出的权重和输入的二维数据矩阵的相对应的列分别相乘，得到经过特征选择后的输出；

所述特征判别模块包括：数个卷积池化块、一维的池化层、激活函数、扁平层和第二全连接层；所述卷积池化块中包括卷积核大小为x的一维卷积，卷积核数量为n；所述卷积池化块的个数根据所述特征选择模块输出的数据长度设置；所述扁平层用于将所述卷积池化块的输出进行扁平化后，输入所述第二全连接层；

所述激活函数模块包括sigmoid激活函数。

5.根据权利要求1所述的检测方法，其特征在于，训练好的卷积神经网络，通过以下步骤得到：

构建包括所述特征权重确定模块、特征选择模块、特征判别模块和激活函数模块的卷积神经网络；

设置所述卷积神经网络的训练轮数X；

将训练集输入所述卷积神经网络中进行训练，将预测错误的数据进行保存，并用验证集验证所述卷积神经网络的检测准确性；

将预测错误的数据加在所述训练集上，重新进行训练，并在训练之后用验证集验证检测准确性；

重复上述过程，直到训练轮数达到所述训练轮数X；

采用所述训练轮数中检测准确性最高的卷积神经网络，作为所述训练好的卷积神经网络。

6.根据权利要求5所述的检测方法，其特征在于，所述训练集中的训练样本采用以下步骤进行样本增广：

确定一个训练样本X_i以及与所述训练样本X_i具有近邻关系的K个训练样本；

从所述K个训练样本随机选择一个训练样本X_i(nn)，并同时生成一个0到1之间的随机数

合成一个新样本

合成一个新样本

的步骤，每次得到一个新样本。

7.根据权利要求5所述的检测方法，其特征在于，所述检测方法还包括：采用贝叶斯优化对所述训练好的卷积神经网络中的参数进行优化。

8.一种基于卷积神经网络的恶意加密流量检测装置，其特征在于，所述检测装置包括：

特征确定模块，用于确定检测特征；

矩阵构建模块，用于以五元组为单位提取检测特征，将提取的检测特征规范化为二维数据矩阵；

检测模型模块，用于将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；以及

结果确定模块，用于根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。

9.一种电子设备，其特征在于，包括：至少一个处理器；

存储器，与所述至少一个处理器连接；

其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现权利要求1至7中任意一项权利要求所述的基于卷积神经网络的恶意加密流量检测方法。

10.根据权利要求9所述的电子设备，其特征在于，所述电子设备为防火墙或服务器。