恶意软件使用加密流量躲避网络分析和检测已屡见不鲜,而近年来随着审查规避技术日新月异,恶意软件为了更有效地规避网络审查而滥用这一技术不断更新换代,以致审查规避类加密恶意流量呈现出变化迅速、种类多样、攻击性强、隐蔽性高等特点,而且还出现了针对机器学习算法本身的对抗性攻击,导致目前1)针对传统加密恶意流量的特征集已不能保证对审查规避类加密恶意流量的表征能力;2)常用的权威流量数据集无法涵盖日新月异的审查规避类加密恶意流量样本形态;3)静态被动的检测模型呈现出明显的被动性、滞后性和脆弱性,给传统的加密流量恶意性检测方案带来巨大威胁。因此,需要研究一种针对审查规避类加密恶意流量的更高效、更准确,且能抵御对抗性攻击的强鲁棒检测方案。从审查规避型恶意软件的恶意性本质所反映的流量行为入手,结合TLS协议的发展现状,提取了更细节、精准的TLS交互特征,和能够反映恶意软件的隐蔽通讯方式与行为的数据包级特征、数据流级特征和新颖的时空联合特征这三种流量统计特征,构建了区分度高、表征能力强的流量特征集;并使用随机森林和Light GBM机器学习算法构建检测模型,分别验证了TLS交互特征和流量统计特征对于各种审查规避类加密恶意流量的强大表征能力,构建的检测模型在面对不同规避类型的加密恶意流量样本时均能表现出优异性能,分别达到了98.6%和97.8%的准确率。从数据流和TLS Client Hello消息两个层面的相关流量特征入手,利用生成对抗网络技术,批量生成能通过对抗型审查规避类恶意程序的形态验证且保持恶意攻击功能的对抗性规避样本,实验结果表明这些样本使得上一步构建的检测模型准确率下降到7%左右,漏报率蹿升到93%左右,验证了对抗性规避样本强大的伪装能力和优秀的规避效果,并结合常规流量样本集构建了高对抗性流量数据集。同时,鉴于检测模型依然存在“概念漂移”问题,首先设定数据集更新周期,定期加入新收集的常规样本和新生成的对抗性规避样本,淘汰老旧的流量样本,然后定期重新训练检测模型以动态增强并维持模型的鲁棒性,实验结果表明这一方法可以使检测模型的准确率一直保持在95%以上,实现了检测方案从被动到主动的转变,使其在当下和未来均能保持良好的鲁棒性。最后完成了审查规避类加密恶意流量强鲁棒检测方案的原型系统设计与实现,同时开发了B/S架构的Web框架,提高了原型系统的检测效率和使用者的操作体验,并结合SMOTE过采样算法对原型系统进行一定的改进,解决了其在实际网络环境中正负训练集严重不平衡时可能给模型的训练带来偏差的问题;然后将原型系统部署在校园网真实网络环境中并进行各项测试,使用Virus Total辅助证明了原型系统的检测有效性和前瞻性,验证了原型系统符合网络安全人员的实际使用需求。