[发明专利]一种异常HTTP连接的检测方法

权利要求书

1.一种异常HTTP连接的检测方法，其特征在于，具体包括以下步骤：

步骤S1：在交换机镜像端口设置流量采集器采集流量，再从旁路采集到的网络全流量中，解析出基于HTTP连接的网络元数据并去除敏感信息再存储；

步骤S2：利用历史数据，基于所述HTTP连接，根据时间戳及HTTP请求路径进行分组聚合运算，划分出多个HTTP连接组，并计算每个组特征值统计量，通过机器学习创建基于所述的HTTP连接组检测异常HTTP连接的检测模型；

步骤S3：在实时流量环境下，对HTTP连接进行分组聚合运算，采用检测模型，判断出每组HTTP连接是否异常；

步骤S4：将检测结果相关数据即时反馈到检测模型，并实时更新检测模型的计算参数，然后再依序循环执行步骤S1至步骤S4。

2.根据权利要求1所述的一种异常HTTP连接的检测方法，其特征在于：所述解析出基于HTTP连接的网络元数据具体为以一次包含进出的HTTP连接为单位存储，描述一次HTTP连接的关键数据，包括但不限于时间戳、HTTP请求路径、HTTP响应状态码、载荷信息的字节数、通讯使用的包数和连接数，其中通过载荷信息的字节数、通讯使用的包数可以区分进出方向。

3.根据权利要求1所述的一种异常HTTP连接的检测方法，其特征在于：

所述步骤S2中分组聚合运算具体包括根据预设的时间区间长度L以及基于时间戳，对所述HTTP连接进行第一次分组，得到第一次分组的HTTP连接组G1；使得对于任意一组HTTP连接gi，gi∈G1，存在一组时间戳ti∈gi，对任意tij∈ti，有tij∈[T0+(i-1)*L， T0+i*L)，T0是初始时间，i和j为任意正整数；

所述步骤S2中分组聚合运算在进行第一次分组处理后，根据预设的HTTP请求路径深度P，基于HTTP请求路径，对权利要求4所述的G1进行第二次分组，得到第二次分组的HTTP连接组G2；使得对于任意一组HTTP连接gi，gi∈G2，存在一组HTTP请求路径pi∈gi，对任意pij，pik∈pi，有‘/’分割后的前P部分相同，即pij[0:P] = pik[0:P]，其中i， j， k为任意正整数。

4.根据权利要求1所述的一种异常HTTP连接的检测方法，其特征在于：所述步骤S2中分组聚合运算通过计算每个分组的数值指标，得到第一次聚合的HTTP连接组G3；使得对于任意一组HTTP连接gi，gi∈G3，令mi∈{pi， ipi， opi， bi， ibi， obi， fi}，其中pi， ipi，opi， bi， ibi， obi， fi∈gi，分别为Packet、Inpacket、Outpacket、Byte、Inbyte、Outbyte、Flow，则数值指标为SUM(mi)，其中SUM()为和值，i为任意正整数。

5.根据权利要求1所述的一种异常HTTP连接的检测方法，其特征在于：所述步骤S3根据预设的时间周期T，基于时间戳和第一次聚合的HTTP连接组G3，得到第三次分组的HTTP连接组G4；使得对于任意一组HTTP连接gi，gi∈G4，存在一组时间戳ti，使得对于任意两个时间戳tij， tik∈ti，有:

tij = tik + n * T，

其中i， j， k为任意正整数，n为任意整数；此外，根据每组的时间戳所在时间周期T的位置进行编号，则编号从1到T/L。

6.根据权利要求1所述的一种异常HTTP连接的检测方法，其特征在于：所述步骤S3对所述第三次分组的HTTP连接组G4进行聚合，计算每一组数值指标的统计量，得到第二次聚合的HTTP连接组G5；使得对于任意一组HTTP连接gi，gi∈G5，存在一组数值指标mi∈gi，计算mi的统计量，其中数据分布指标可以是中位数χi和绝对中值差γi或均值μi和标准差σi。