本發(fā)明公開(kāi)了一種HTTP會(huì)話(huà)異常檢測(cè)方法，包括對(duì)HTTP流量進(jìn)行識(shí)別；提取每個(gè)HTTP用戶(hù)會(huì)話(huà)的特征；對(duì)每個(gè)HTTP會(huì)話(huà)所對(duì)應(yīng)的會(huì)話(huà)特征進(jìn)行向量化處理得到特征向量；對(duì)于會(huì)話(huà)集合采用聚類(lèi)算法進(jìn)行聚類(lèi)和標(biāo)記并判斷得到異常會(huì)話(huà)。本發(fā)明還提供了一種實(shí)現(xiàn)所述HTTP會(huì)話(huà)異常檢測(cè)方法的檢測(cè)系統(tǒng)。本發(fā)明根據(jù)HTTP流量劃分的用戶(hù)會(huì)話(huà)，在無(wú)需標(biāo)簽數(shù)據(jù)的情況下利用聚類(lèi)算法進(jìn)行高效聚類(lèi)和核心點(diǎn)保存，利用保存的核心點(diǎn)，計(jì)算待測(cè)HTTP會(huì)話(huà)與核心點(diǎn)的距離來(lái)發(fā)現(xiàn)HTTP流量中的會(huì)話(huà)異常，進(jìn)而發(fā)現(xiàn)Web攻擊；本發(fā)明解決了現(xiàn)有技術(shù)存在的大量問(wèn)題，而且可靠性高、實(shí)用性好而且準(zhǔn)確性較高。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種HTTP會(huì)話(huà)異常檢測(cè)方法及檢測(cè)系統(tǒng)。

背景技術(shù)

隨著經(jīng)濟(jì)技術(shù)的發(fā)展，Web應(yīng)用服務(wù)已經(jīng)廣泛應(yīng)用于人們的生產(chǎn)和生活當(dāng)中，給人們的生產(chǎn)和生活帶來(lái)了無(wú)盡的便利。

但是，隨著Web應(yīng)用服務(wù)的增長(zhǎng)，針對(duì)Web應(yīng)用服務(wù)的攻擊也迅速增長(zhǎng)。攻擊手段不斷推陳出新，引發(fā)網(wǎng)絡(luò)安全事件層出不窮，不僅造成經(jīng)濟(jì)損失，也對(duì)社會(huì)產(chǎn)生不良影響。

為了抵御Web攻擊，傳統(tǒng)的解決方案是通過(guò)在WAF(Web Application Firewall，Web應(yīng)用防火墻)上部署誤用檢測(cè)方法：即基于預(yù)先定義好的攻擊規(guī)則集，對(duì)HTTP(HyperText Transfer Protocol，超文本傳輸協(xié)議)請(qǐng)求進(jìn)行攔截或者放行。這種誤用檢測(cè)方法雖然可以低誤報(bào)地檢測(cè)大多數(shù)攻擊，但是無(wú)法檢測(cè)未知異常，而且弱規(guī)則容易被攻擊者繞過(guò)。此外，規(guī)則的更新維護(hù)需要經(jīng)驗(yàn)豐富的專(zhuān)家分析制定，對(duì)攻擊檢測(cè)有一定的延遲。

為了彌補(bǔ)誤用檢測(cè)的不足，目前研究者們主要關(guān)注異常檢測(cè)方法；該方法構(gòu)建檢測(cè)對(duì)象的正常行為模型，偏離正常行為模型的行為表示異常行為。異常檢測(cè)的方法可以檢測(cè)新的攻擊類(lèi)型，但是誤報(bào)率相對(duì)誤用檢測(cè)方法高，而且不能識(shí)別具體的攻擊類(lèi)型。同時(shí)，現(xiàn)有的檢測(cè)算法多數(shù)需要依賴(lài)大量攻擊樣本或者大量的正常樣本，而實(shí)際采集數(shù)據(jù)中攻擊樣本數(shù)據(jù)遠(yuǎn)遠(yuǎn)少于正常數(shù)據(jù)樣本，且很難覆蓋全部攻擊類(lèi)型；尤其在不同網(wǎng)站環(huán)境下，獲得標(biāo)簽數(shù)據(jù)十分困難。

發(fā)明內(nèi)容

本發(fā)明的目的之一在于提供一種可靠性高、實(shí)用性好而且準(zhǔn)確性較高的 HTTP會(huì)話(huà)異常檢測(cè)方法。

本發(fā)明的目的之二在于提供一種實(shí)現(xiàn)所述HTTP會(huì)話(huà)異常檢測(cè)方法的檢測(cè)系統(tǒng)。

本發(fā)明提供的這種HTTP會(huì)話(huà)異常檢測(cè)方法，包括如下步驟：

S1.對(duì)HTTP流量進(jìn)行識(shí)別；

S2.提取每個(gè)HTTP用戶(hù)會(huì)話(huà)的特征；

S3.對(duì)每個(gè)HTTP會(huì)話(huà)所對(duì)應(yīng)的會(huì)話(huà)特征進(jìn)行向量化處理，從而得到對(duì)應(yīng)的特征向量；

S4.對(duì)于會(huì)話(huà)集合，采用聚類(lèi)算法進(jìn)行聚類(lèi)和標(biāo)記，從而判斷得到異常會(huì)話(huà)。

所述的HTTP會(huì)話(huà)異常檢測(cè)方法，還包括如下步驟：

S5.對(duì)于新的待檢測(cè)的HTTP流量，首先進(jìn)行用戶(hù)會(huì)話(huà)識(shí)別，然后將提取用戶(hù)會(huì)話(huà)的特征，計(jì)算特征向量，并計(jì)算特征向量到步驟S4得到的聚類(lèi)中心的距離，并在距離大于設(shè)定值時(shí)判定為異常會(huì)話(huà)。

步驟S1所述的對(duì)HTTP流量進(jìn)行識(shí)別，具體為采用IP來(lái)區(qū)分不同的用戶(hù)，然后再進(jìn)行會(huì)話(huà)識(shí)別；會(huì)話(huà)定義為用于從進(jìn)入站點(diǎn)到離開(kāi)站點(diǎn)所經(jīng)歷的時(shí)間。

步驟S2所述的提取每個(gè)HTTP用戶(hù)會(huì)話(huà)的特征，具體為對(duì)劃分的每個(gè)HTTP 用戶(hù)會(huì)話(huà)，提取該會(huì)話(huà)的如下特征：