针对传统机器学习算法检测恶意加密流量能力有限的问题，引入视觉领域的MoCo模型，采用对比学习的思路进行流量自监督学习方法，收集大量的无标记数据进行训练，而后仅采用少量恶意流量进行模型微调达到检测效果。

在自适应模型中，使用历史数据构建的数据集训练模型后，在现网环境中会周期性收集客户现网的白流量（因为客户侧绝大多数的流量都是白流量），而后采用增量学习的方式将其加入到原有模型中，以完成模型的动态更新。针对目前基于预先训练模型的机器学习技术检测恶意流量在现网特定网络环境中存在误报率偏高的现象，引入基于增量学习的自适应学习技术，通过在一定时间周期内提取客户现场的白流量，我们使得原有的固化模型能够学习到最

在自适应模型中，使用历史数据构建的数据集训练模型后，在现网环境中会周期性收集客户现网的白流量（因为客户侧绝大多数的流量都是白流量），而后采用增量学习的方式将其加入到原有模型中，以完成模型的动态更新。针对目前基于预先训练模型的机器学习技术检测恶意流量在现网特定网络环境中存在误报率偏高的现象，引入基于增量学习的自适应学习技术，通过在一定时间周期内提取客户现场的白流量，我们使得原有的固化模型能够学习到最

vagent是一个使用Java语言开发的内存马注入工具。攻击者在利用vagent注入内存马之后可以利用别的代理工具或是webshell工具连接内存马进行通信。vagent对部分工具的内存马做了一些简单的魔改以达到绕过部分检测设备的目的。通过对vagent内存马注入工具代码及原始流量分析，可以看到越来越多的黑客工具开始使用自定义加密方式对攻击载荷进行加密；