近年来,互联网的飞速发展为人类社会提供了非常多的便利,网络科技与人们的日常生活联系日益紧密,尤其是智能手机的使用更为明显。智能手机的用户越来越多,也让很多不法分子动起了歪心思。他们通过诱导用户下载恶意软件来达到盗取用户隐私信息、消费诱导和远程控制等目的。而在手机市场中,谷歌的安卓系统以它开源、自由、可二次开发性高的优点超越了塞班,以四分之三的市场份额占比成为世界上最受欢迎的手机系统,这无疑也让它成为了攻击的主要对象。传统的恶意软件检测通常有静态检测和动态检测,包括蜜罐技术、逆向等,通过网络流量检测来识别恶意软件也是一种有效的检测方法。早期的恶意流量检测通常是基于端口和基于载荷的方法,然而越来越多网络通信采用随机端口策略,让基于端口的识别方法变得不再可靠;基于载荷的方法虽然具有低误报率的优点,但是需要建立一个庞大的指纹库,并且无法作用于加密流量的识别。近年来人们针对加密流量提出了基于特征的检测方法,这种方法能够有效识别加密流量,但是它需要研究者有充足的先验知识,同时容易被逃逸攻击、网络噪音所影响。为了解决上述加密流量检测所出现的问题,本文提出了一种基于双域和规则的恶意流量检测方法。本文将网络流量抽象为数字信号,效法数字信号中处理噪音的方法,提取加密流量的频域特征,分离噪音与有效信号;同时利用深度学习算法自动提取网络流量的时序特征,这样不仅保留了特征检测的工作,还不需要丰富先验知识;接着本文还针对加密流量设计了关联规则挖掘方法,作为基于载荷方法的升级,不仅能自动挖掘恶意流量的规则库,还能通过规则量化与双域特征结合,增强检测效果;最后本文设计时间步上的注意力机制计算每个时间步的权重,并完成加密恶意流量的检测和分类。本文使用了加拿大网络安全实验所的数据集AndMal2017来进行实验。本文设计双域与规则的纵向实验验证了时域、频域和规则检测恶意流量的可行性,并确定了最佳的数据包序列长度和采样频率,同时与其他加密恶意流量检测方法进行横向对比验证本文检测方法的有效性。实验结果表明本文的基于双域和规则的检测方法在加密恶意流量检测的准确率相较于其他检测方法均有所提高,特别在二分类上比利用静态特征的检测方法高了21.2%,比使用时间序列的检测方法高了6%,这说明该方法能够适用于加密恶意流量检测。