本申请公开了一种恶意流量检测方法，包括以下步骤：建立域名数据库，包含禁止访问的服务器名单；在来自客户端的加密流量中，获得客户端发出的Client Hello包，提取Hello包中的SNI信息；将SNI中的第一服务器名称和所述域名数据库比较；响应于所述第一服务器名称与所述域名数据库中任一域名相同，阻断所述客户端和所述第一服务器的链接。本申请还包含实现所述方法的装置。本申请解决传统发送RST包阻断连接方式阻断率低的问题。