1.一種HTTP會話異常檢測方法，包括如下步驟：

S1.對HTTP流量進行識別；

S2.提取每個HTTP用戶會話的特征；具體為對劃分的每個HTTP用戶會話，提取該會話的如下特征：

異常UserAgent的占比：表示異常UserAgent訪問量在該會話總訪問量中的占比；其中異常UserAgent指的是包含spider、bot、yahoo！slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc關鍵字的UserAgent；

非GET/POST占比：表示除GET/POST方法之外的訪問量在總訪問量中的占比；除GET/POST方法之外的方法，還包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND；

POST方法的占比：表示POST方法的訪問量在總訪問量中的占比；

返回狀態碼的占比：表示返回狀態碼≥400的訪問量在總訪問量中的占比；

訪問量：表示在過濾掉靜態頁面訪問記錄的情況下，該會話的總訪問數量；

訪問頻率：表示平均每分鐘用戶的訪問量；

referer字段為空或者一致的占比：表示referer字段全部為空或全部一致的情況在總referer字段中的占比；

訪問敏感文件的次數：表示訪問敏感文件的訪問量；敏感文件包括ini文件、php文件和conf文件；

瀏覽器自動訪問請求的占比：表示自動訪問請求訪問量在該會話總訪問量的占比；

訪問同一頁面占比：對訪問uri進行預處理，處理成path+？+參數名1＝++參數名2＝的形式，同時取該會話里訪問量最大的某個頁面，計算其訪問量與總訪問量的比值；

S3.對每個HTTP會話所對應的會話特征進行向量化處理，從而得到對應的特征向量；

S4.對于會話集合，采用聚類算法進行聚類和標記，從而判斷得到異常會話。