[发明专利]一种异常HTTP连接的检测方法

说明书

本发明涉及一种异常HTTP连接的检测方法，步骤S1：在交换机镜像端口设置流量采集器采集流量，再解析出基于HTTP连接的网络元数据并去除敏感信息再存储；步骤S2：利用历史数据，根据时间戳及HTTP请求路径进行分组聚合运算，划分出多个HTTP连接组，并计算每个组特征值统计量，通过机器学习创建基于所述的HTTP连接组检测异常HTTP连接的检测模型；步骤S3：对HTTP连接进行分组聚合运算，采用检测模型，判断出每组HTTP连接是否异常；步骤S4：将检测结果相关数据即时反馈到检测模型并实时更新检测模型，然后再依序循环执行前述步骤。本技术方案能够实现无需人工分析业务数据，节省了人力，同时会根据数据不断调整优化检测模型，检测准确率高。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常HTTP连接的检测方法。

背景技术

超文本传输协议（HyperText Transfer Protocol，简写为HTTP），是互联网上应用最为广泛的一种网络应用层协议。HTTP协议是基于TCP/IP协议之上，用于规范客户端于服务端之间的通讯格式，而不关心具体传输细节。正是由于其广泛使用及灵活性，存在相当多的针对HTTP协议的攻击手段，比如拒绝服务攻击、撞库攻击、漏洞扫描攻击等。

目前针对这些攻击手段的传统方法有：阈值限制，即通过人工观察数据后设置阈值，短时间内流量或连接数大于阈值则进行限制（如网络四层防火墙），但该方法根据阈值的设置，可能出现大量的误报、漏报，从而严重影响正常业务流量。还有正则匹配，即由专家预先针对已有攻击手段编写正则表达式规则，并对每一个数据包进行匹配（如网站应用防火墙）。该方法针对未知的攻击没有应对能力，而且需要对每个包对进行分析，检测速度慢，随着规则的增多，可能出现规则间的冲突，难以维护。因为要对数据包内容进行检测，还存在数据隐私问题。

随着人工智能技术的发展，也出现了很多在传统方法上优化了的机器学习的方法，比如同样需要对每个包分析的文本特征识别。该方法取代了专家的人工分析，改由机器自动识别异常连接的文本特征，因此同样无法正则匹配规则检测时出现的问题。基于阈值限制的机器学习算法，通常为根据历史数据的无监督学习，不同于有监督学习，该方法无需前期的人工，对未知攻击也有一定的抗衡能力。该方法需要解决的问题是，数据的特征选择问题，这直接影响到聚类的结果；此外，还需要考虑到算法复杂度、模型的时效性等问题。除了在网络安全，异常HTTP连接的检测同样可以应用在商业智能、系统运维。

发明内容

本发明目的是为了克服现有技术的不足而提供一种误报少、漏报率低、降低计算复杂度且检测效率高的异常HTTP连接的检测方法。

下述文档中涉及到的英文所对应的中文解释如下：∈是数学符号为“∈”，指属于关系表达，表示元素和集合之间的关系；若a∈A，则a属于集合A，a是集合A中的元素；若a∉A，则a不属于集合A，a不是集合A中的元素。

为达到上述目的，本发明采用了如下技术方案。

一种异常HTTP连接的检测方法，具体包括以下步骤：

步骤S1：在交换机镜像端口设置流量采集器采集流量，再从旁路采集到的网络全流量中，解析出基于HTTP连接的网络元数据并去除敏感信息再存储；

步骤S2：利用历史数据，基于所述HTTP连接，根据时间戳及HTTP请求路径进行分组聚合运算，划分出多个HTTP连接组，并计算每个组特征值统计量，通过机器学习创建基于所述的HTTP连接组检测异常HTTP连接的检测模型；

步骤S3：在实时流量环境下，对HTTP连接进行分组聚合运算，采用检测模型，判断出每组HTTP连接是否异常；

步骤S4：将检测结果相关数据即时反馈到检测模型，并实时更新检测模型的计算参数，然后再依序循环执行步骤S1至步骤S4。