为保证通信数据的机密性和完整性,多数应用程序采用加密协议对通信数据进行加密处理。加密协议的应用可以有效保护合法用户通信数据的隐私,但也成为攻击者绕过网络安全设备检测的工具。因此,研究加密恶意流量检测技术,具有极其重要的意义。现有的一些基于传统机器学习的检测方法,从加密协议报文中提取该协议特有的字段作为特征,但这些特征会随着加密协议的升级而变得不可见,使得检测方法只能用于特定协议的流量检测。现有的一些基于深度学习的检测方法,将网络数据转换为二维的数字矩阵或从流量中手工提取特征,无法很好的保留流量的原始状态。针对现有方法存在的不足,本文提出了两个加密恶意流量检测方法和一个检测系统,主要工作内容如下:（1）结合多粒度特征的加密恶意流量检测方法。该方法通过从原始网络数据中提取不同粒度的特征来对网络流量进行描述和分析。这些特征与具体的网络协议无关,因此能够在不同的网络环境下进行有效的检测。提取的特征包括四个不同的粒度:字段级特征、数据包级特征、会话级特征和主机级特征。针对不同粒度的特征,采用朴素贝叶斯、XGBoost和随机森林作为基分类器,通过软投票的方式进行模型融合。实验结果表明,该方法具有较高的检测精度和召回率,泛化能力强。（2）基于序列上下文语义的加密恶意流量检测方法。该方法能够有效地保留网络流量的原始状态,同时从中提取出充分的上下文信息。首先,将网络流量按照会话划分方式进行数据切分,形成一系列会话数据。然后,将每个会话的数据转换为一维流量序列,并选择一个合适的长度进行数据裁剪。最后,通过自定义的Text CNN神经网络,从一维流量序列中提取上下文语义特征,以实现加密恶意流量的检测。实验结果表明,该方法比现有方法具有更高的检测精度和更低的误报率。（3）基于序列多粒度特征的加密恶意流量检测系统。该系统功能包括数据上传、数据集信息可视化、特征信息可视化、加密恶意流量检测和加密流量多分类。其中,加密恶意流量检测功能基于前面提出的两种方法实现。加密流量多分类功能包括12分类和100分类,证明了本文所提方法在多分类任务上也能取得较高的分类精度。