CN112565270A - Http会话异常检测方法及检测系统 - Google Patents
Http会话异常检测方法及检测系统 Download PDFInfo
- Publication number
- CN112565270A CN112565270A CN202011421946.7A CN202011421946A CN112565270A CN 112565270 A CN112565270 A CN 112565270A CN 202011421946 A CN202011421946 A CN 202011421946A CN 112565270 A CN112565270 A CN 112565270A
- Authority
- CN
- China
- Prior art keywords
- session
- http
- access
- point
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/332—Query formulation
- G06F16/3329—Natural language query formulation or dialogue systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/3331—Query processing
- G06F16/334—Query execution
- G06F16/3344—Query execution using natural language analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Artificial Intelligence (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种HTTP会话异常检测方法,包括对HTTP流量进行识别;提取每个HTTP用户会话的特征;对每个HTTP会话所对应的会话特征进行向量化处理得到特征向量;对于会话集合采用聚类算法进行聚类和标记并判断得到异常会话。本发明还提供了一种实现所述HTTP会话异常检测方法的检测系统。本发明根据HTTP流量划分的用户会话,在无需标签数据的情况下利用聚类算法进行高效聚类和核心点保存,利用保存的核心点,计算待测HTTP会话与核心点的距离来发现HTTP流量中的会话异常,进而发现Web攻击;本发明解决了现有技术存在的大量问题,而且可靠性高、实用性好而且准确性较高。
Description
技术领域
本法民属于网络安全领域,具体涉及一种HTTP会话异常检测方法及检测系统。
背景技术
随着经济技术的发展,Web应用服务已经广泛应用于人们的生产和生活当中,给人们的生产和生活带来了无尽的便利。
但是,随着Web应用服务的增长,针对Web应用服务的攻击也迅速增长。攻击手段不断推陈出新,引发网络安全事件层出不穷,不仅造成经济损失,也对社会产生不良影响。
为了抵御Web攻击,传统的解决方案是通过在WAF(Web Application Firewall,Web应用防火墙)上部署误用检测方法:即基于预先定义好的攻击规则集,对HTTP(HyperText Transfer Protocol,超文本传输协议)请求进行拦截或者放行。这种误用检测方法虽然可以低误报地检测大多数攻击,但是无法检测未知异常,而且弱规则容易被攻击者绕过。此外,规则的更新维护需要经验丰富的专家分析制定,对攻击检测有一定的延迟。
为了弥补误用检测的不足,目前研究者们主要关注异常检测方法;该方法构建检测对象的正常行为模型,偏离正常行为模型的行为表示异常行为。异常检测的方法可以检测新的攻击类型,但是误报率相对误用检测方法高,而且不能识别具体的攻击类型。同时,现有的检测算法多数需要依赖大量攻击样本或者大量的正常样本,而实际采集数据中攻击样本数据远远少于正常数据样本,且很难覆盖全部攻击类型;尤其在不同网站环境下,获得标签数据十分困难。
发明内容
本发明的目的之一在于提供一种可靠性高、实用性好而且准确性较高的HTTP会话异常检测方法。
本发明的目的之二在于提供一种实现所述HTTP会话异常检测方法的检测系统。
本发明提供的这种HTTP会话异常检测方法,包括如下步骤:
S1.对HTTP流量进行识别;
S2.提取每个HTTP用户会话的特征;
S3.对每个HTTP会话所对应的会话特征进行向量化处理,从而得到对应的特征向量;
S4.对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话。
所述的HTTP会话异常检测方法,还包括如下步骤:
S5.对于新的待检测的HTTP流量,首先进行用户会话识别,然后将提取用户会话的特征,计算特征向量,并计算特征向量到步骤S4得到的聚类中心的距离,并在距离大于设定值时判定为异常会话。
步骤S1所述的对HTTP流量进行识别,具体为采用IP来区分不同的用户,然后再进行会话识别;会话定义为用于从进入站点到离开站点所经历的时间。
步骤S2所述的提取每个HTTP用户会话的特征,具体为对划分的每个HTTP用户会话,提取该会话的如下特征:
异常UserAgent的占比:表示UserAgent访问量在该会话总访问量中的占比;其中异常UserAgent指的是包含spider、bot、yahoo!slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc关键字的UserAgent;
非GET/POST占比:表示除GET/POST方法之外的访问量在总访问量中的占比;除GET/POST方法之外的方法,还包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND;
POST方法的占比:表示POST方法的访问量在总访问量中的占比;
返回状态码的占比:表示返回状态码≥400的访问量在总访问量中的占比;
访问量:表位在过滤掉静态页面访问记录的情况下,该会话的总访问数量;
访问频率:表示平均每分钟用户的访问量;
referer为空或者一致的占比:表示referer全部为空或全部一致的情况在总referer中的占比;
访问敏感文件的次数:表示访问敏感文件的访问量;敏感文件包括ini文件、php文件和conf文件;
浏览器自动访问请求的占比:表示自动访问请求访问量在该会话总访问量的占比;
访问同一页面占比:对访问uri进行预处理,处理成path+?+参数名1=+&+参数名2=的形式,同时取该会话里访问量最大的某个页面,计算其访问量与总访问量的比值。
步骤S4所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为对于会话集合S,利用DBSCAN算法,对其中的会话进行聚类,标记离群点、边界点以及核心点,并判定离群点对应的所有会话均为异常会话。
所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为利用DBSCAN算法进行聚类过程中,对于会话集合S中任意两个会话,计算其特征向量之间的欧式距离,作为这两个样本点之间的距离;基于计算出的样本点之间的距离,统计会话点p的邻域范围内的样本点数据,对于会话集合S中的每个会话p1,若其在会话点p的邻域范围内,则令会话点p的邻域范围内的样本点数量加1;若会话点p的邻域范围内的总样本点数量大于或等于设置的邻域密度阈值,则该会话点为核心点;若会话点p在其邻域范围内含有点的数量小于设置的邻域密度阈值,但是该会话点p落在核心点的邻域内,则该对象为边界点;若一个会话点既不是核心点,也不是边界点,则该会话点被标记为不属于任何簇的离群点,并判定离群点对应的所有会话均为异常会话。
本发明还提供了一种实现所述HTTP会话异常检测方法的检测系统,包括流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块;流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块依次串联;流量识别模块用于对HTTP流量进行识别,并将识别结果上传会话特征提取模块;会话特征提取模块用于提取每个HTTP用户会话的特征,并将提取结果上传特征向量提取模块;特征向量提取模块用于对每个HTTP会话所对应的会话特征进行向量化处理,得到对应的特征向量并上传异常会话判定模块;异常会话判定模块用于对于会话集合采用聚类算法进行聚类和标记,从而判断得到异常会话。
本发明提供的这种HTTP会话异常检测方法及检测系统,根据HTTP流量划分的用户会话,在无需标签数据的情况下利用聚类算法进行高效聚类和核心点保存,利用保存的核心点,计算待测HTTP会话与核心点的距离来发现HTTP流量中的会话异常,进而发现Web攻击;本发明可以应用于Web安全领域,可以方便地部署在记录HTTP访问的旁路设备上,用于HTTP会话的异常检测和报警,解决了现有Web应用防火墙对未知异常无法检测、更新维护成本高,或误报率高、需要获得标签数据的问题,也解决了现有方法仅对单条HTTP访问进行检测,忽略了用户在一段时间内的访问的缺陷;本发明方法的可靠性高、实用性好而且准确性较高。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明系统的功能模块图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种HTTP会话异常检测方法,包括如下步骤:
S1.对HTTP流量进行识别;具体为采用IP来区分不同的用户,然后再进行会话识别;会话定义为用于从进入站点到离开站点所经历的时间;
S2.提取每个HTTP用户会话的特征;具体为对划分的每个HTTP用户会话,提取该会话的如下特征:
异常UserAgent的占比:表示UserAgent访问量在该会话总访问量中的占比;其中异常UserAgent指的是包含spider、bot、yahoo!slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc关键字的UserAgent;
非GET/POST占比:表示除GET/POST方法之外的访问量在总访问量中的占比;除GET/POST方法之外的方法,还包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND;
POST方法的占比:表示POST方法的访问量在总访问量中的占比;
返回状态码的占比:表示返回状态码≥400的访问量在总访问量中的占比;
访问量:表位在过滤掉静态页面访问记录的情况下,该会话的总访问数量;
访问频率:表示平均每分钟用户的访问量;
referer为空或者一致的占比:表示referer全部为空或全部一致的情况在总referer中的占比;
访问敏感文件的次数:表示访问敏感文件的访问量;敏感文件包括ini文件、php文件和conf文件;
浏览器自动访问请求的占比:表示自动访问请求访问量在该会话总访问量的占比;
访问同一页面占比:对访问uri进行预处理,处理成path+?+参数名1=+&+参数名2=的形式,同时取该会话里访问量最大的某个页面,计算其访问量与总访问量的比值;
S3.对每个HTTP会话所对应的会话特征进行向量化处理,从而得到对应的特征向量;
具体实施时,将HTTP会话的10个特征作为特征向量中的10个特征维度,对于每个HTTP会话,其对应的10个特征都是数值,为了消除特征之间不同量级导致的影响,需要将特征归一化到同一个范围内;由于访问量、访问频率、访问敏感文件的次数变化的区间过大,为了获取更好的性能,避免聚类时对这些特征过于依赖,需要对这三个特征进行归一化;对访问量、访问频率进行最小最大标准化;其中最小最大标准化的公式是:y=(x-min)/(max-min),min是所有会话样本的相应特征(访问量/访问频率)的最小值,max是所有会话样本的相应特征(访问量/访问频率)的最大值;对访问敏感文件的次数进行标准差标准化,其中,标准差标准化的公式是:y=(x-μ)/σ,μ是所有会话样本的相应特征(访问敏感文件的次数)的均值,σ是所有会话样本的相应特征(访问敏感文件的次数)的标准差;
S4.对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话;具体为对于会话集合S,利用DBSCAN算法,对其中的会话进行聚类,标记离群点、边界点以及核心点,并判定离群点对应的所有会话均为异常会话;
具体实施时,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为利用DBSCAN算法进行聚类过程中,对于会话集合S中任意两个会话,计算其特征向量之间的欧式距离,作为这两个样本点之间的距离;基于计算出的样本点之间的距离,统计会话点p的邻域范围内的样本点数据,对于会话集合S中的每个会话p1,若其在会话点p的邻域范围内,则令会话点p的邻域范围内的样本点数量加1;若会话点p的邻域范围内的总样本点数量大于或等于设置的邻域密度阈值,则该会话点为核心点;若会话点p在其邻域范围内含有点的数量小于设置的邻域密度阈值,但是该会话点p落在核心点的邻域内,则该对象为边界点;若一个会话点既不是核心点,也不是边界点,则该会话点被标记为不属于任何簇的离群点,并判定离群点对应的所有会话均为异常会话;
S5.对于新的待检测的HTTP流量,首先进行用户会话识别,然后将提取用户会话的特征,计算特征向量,并计算特征向量到步骤S4得到的聚类中心的距离,并在距离大于设定值时判定为异常会话。
以下结合一个具体实施例,对本发明方法进行进一步说明:
测试环境:CPU为Intel Core i7-8700处理器,内存8GB,Windows操作系统。
测试数据:通过关键字匹配和人工验证对来自某公司提供的2个网站一周和一个月真实访问流量进行标记,Traffic1和Traffic3来自A网站,Traffic2和Traffic4来自B网站。数据集的详细信息如表1所示。
表1数据集详细信息示意表
流量数据集 | 时间 | 会话数量 |
Traffic1 | 一周 | 1617 |
Traffic2 | 一周 | 18841 |
Traffic3 | 一个月 | 4436 |
Traffic4 | 一个月 | 149008 |
在表1所示的4个HTTP流量数据集上测试了本发明异常检测方法的有效性。本发明利用DBSCAN算法得到的核心点对HTTP会话进行异常检测(简称核心点检测),在保存核心点的过程中,主要经过两步:基于DBSCAN算法确定会话点为核心点、边界点还是离群点(简称DBSCAN-based),第二,根据DBSCAN算法确定的核心点来判断待测的HTTP会话是否为异常会话。表2说明了本发明中DBSCAN-based和核心点检测的测试结果。表2中Traffic1、Traffic2利用DBSCAN-based方法进行检测,并分别获取其检测结果的核心点,用其核心点分别检测Traffic3、Traffic4。
表2对比测试结果示意表
从表2中可以看出,本发明中DBSCAN-based和核心点检测方法的测试效果都很好,误报率很低。
如图2所示为本发明系统的功能模块图:本发明提供的这种实现所述HTTP会话异常检测方法的检测系统,包括流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块;流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块依次串联;流量识别模块用于对HTTP流量进行识别,并将识别结果上传会话特征提取模块;会话特征提取模块用于提取每个HTTP用户会话的特征,并将提取结果上传特征向量提取模块;特征向量提取模块用于对每个HTTP会话所对应的会话特征进行向量化处理,得到对应的特征向量并上传异常会话判定模块;异常会话判定模块用于对于会话集合采用聚类算法进行聚类和标记,从而判断得到异常会话。
Claims (7)
1.一种HTTP会话异常检测方法,包括如下步骤:
S1.对HTTP流量进行识别;
S2.提取每个HTTP用户会话的特征;
S3.对每个HTTP会话所对应的会话特征进行向量化处理,从而得到对应的特征向量;
S4.对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话。
2.根据权利要求1所述的HTTP会话异常检测方法,其特征在于还包括如下步骤:
S5.对于新的待检测的HTTP流量,首先进行用户会话识别,然后将提取用户会话的特征,计算特征向量,并计算特征向量到步骤S4得到的聚类中心的距离,并在距离大于设定值时判定为异常会话。
3.根据权利要求1或2所述的HTTP会话异常检测方法,其特征在于步骤S1所述的对HTTP流量进行识别,具体为采用IP来区分不同的用户,然后再进行会话识别;会话定义为用于从进入站点到离开站点所经历的时间。
4.根据权利要求3所述的HTTP会话异常检测方法,其特征在于步骤S2所述的提取每个HTTP用户会话的特征,具体为对划分的每个HTTP用户会话,提取该会话的如下特征:
异常UserAgent的占比:表示UserAgent访问量在该会话总访问量中的占比;其中异常UserAgent指的是包含spider、bot、yahoo!slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc关键字的UserAgent;
非GET/POST占比:表示除GET/POST方法之外的访问量在总访问量中的占比;除GET/POST方法之外的方法,还包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND;
POST方法的占比:表示POST方法的访问量在总访问量中的占比;
返回状态码的占比:表示返回状态码≥400的访问量在总访问量中的占比;
访问量:表位在过滤掉静态页面访问记录的情况下,该会话的总访问数量;
访问频率:表示平均每分钟用户的访问量;
referer为空或者一致的占比:表示referer全部为空或全部一致的情况在总referer中的占比;
访问敏感文件的次数:表示访问敏感文件的访问量;敏感文件包括ini文件、php文件和conf文件;
浏览器自动访问请求的占比:表示自动访问请求访问量在该会话总访问量的占比;
访问同一页面占比:对访问uri进行预处理,处理成path+?+参数名1=+&+参数名2=的形式,同时取该会话里访问量最大的某个页面,计算其访问量与总访问量的比值。
5.根据权利要求4所述的HTTP会话异常检测方法,其特征在于步骤S4所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为对于会话集合S,利用DBSCAN算法,对其中的会话进行聚类,标记离群点、边界点以及核心点,并判定离群点对应的所有会话均为异常会话。
6.根据权利要求5所述的HTTP会话异常检测方法,其特征在于所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为利用DBSCAN算法进行聚类过程中,对于会话集合S中任意两个会话,计算其特征向量之间的欧式距离,作为这两个样本点之间的距离;基于计算出的样本点之间的距离,统计会话点p的邻域范围内的样本点数据,对于会话集合S中的每个会话p1,若其在会话点p的邻域范围内,则令会话点p的邻域范围内的样本点数量加1;若会话点p的邻域范围内的总样本点数量大于或等于设置的邻域密度阈值,则该会话点为核心点;若会话点p在其邻域范围内含有点的数量小于设置的邻域密度阈值,但是该会话点p落在核心点的邻域内,则该对象为边界点;若一个会话点既不是核心点,也不是边界点,则该会话点被标记为不属于任何簇的离群点,并判定离群点对应的所有会话均为异常会话。
7.一种实现权利要求1~6之一所述的HTTP会话异常检测方法的检测系统,其特征在于包括流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块;流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块依次串联;流量识别模块用于对HTTP流量进行识别,并将识别结果上传会话特征提取模块;会话特征提取模块用于提取每个HTTP用户会话的特征,并将提取结果上传特征向量提取模块;特征向量提取模块用于对每个HTTP会话所对应的会话特征进行向量化处理,得到对应的特征向量并上传异常会话判定模块;异常会话判定模块用于对于会话集合采用聚类算法进行聚类和标记,从而判断得到异常会话。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011421946.7A CN112565270B (zh) | 2020-12-08 | 2020-12-08 | Http会话异常检测方法及检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011421946.7A CN112565270B (zh) | 2020-12-08 | 2020-12-08 | Http会话异常检测方法及检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112565270A true CN112565270A (zh) | 2021-03-26 |
CN112565270B CN112565270B (zh) | 2022-04-29 |
Family
ID=75059451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011421946.7A Active CN112565270B (zh) | 2020-12-08 | 2020-12-08 | Http会话异常检测方法及检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565270B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN113676373A (zh) * | 2021-08-12 | 2021-11-19 | 深圳追一科技有限公司 | 会话测试方法、装置、计算机设备和存储介质 |
US20220253549A1 (en) * | 2021-02-08 | 2022-08-11 | Capital One Services, Llc | Methods and systems for automatically preserving a user session on a public access shared computer |
CN115150182A (zh) * | 2022-07-25 | 2022-10-04 | 国网湖南省电力有限公司 | 基于流量分析的信息系统网络攻击检测方法 |
CN115987619A (zh) * | 2022-12-21 | 2023-04-18 | 中国电子科技集团公司第三十研究所 | 网络流量异常检测方法、装置、设备及介质 |
CN116318872A (zh) * | 2023-02-13 | 2023-06-23 | 山东云天安全技术有限公司 | 一种通过报文确定异常会话的方法、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130097706A1 (en) * | 2011-09-16 | 2013-04-18 | Veracode, Inc. | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110351301A (zh) * | 2019-07-26 | 2019-10-18 | 长沙市智为信息技术有限公司 | 一种http请求双层递进式异常检测方法 |
CN111182002A (zh) * | 2020-02-19 | 2020-05-19 | 北京亚鸿世纪科技发展有限公司 | 基于http首个问答包聚类分析的僵尸网络检测装置 |
CN111585955A (zh) * | 2020-03-31 | 2020-08-25 | 中南大学 | 一种http请求异常检测方法及系统 |
-
2020
- 2020-12-08 CN CN202011421946.7A patent/CN112565270B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130097706A1 (en) * | 2011-09-16 | 2013-04-18 | Veracode, Inc. | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110351301A (zh) * | 2019-07-26 | 2019-10-18 | 长沙市智为信息技术有限公司 | 一种http请求双层递进式异常检测方法 |
CN111182002A (zh) * | 2020-02-19 | 2020-05-19 | 北京亚鸿世纪科技发展有限公司 | 基于http首个问答包聚类分析的僵尸网络检测装置 |
CN111585955A (zh) * | 2020-03-31 | 2020-08-25 | 中南大学 | 一种http请求异常检测方法及系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220253549A1 (en) * | 2021-02-08 | 2022-08-11 | Capital One Services, Llc | Methods and systems for automatically preserving a user session on a public access shared computer |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN113676373A (zh) * | 2021-08-12 | 2021-11-19 | 深圳追一科技有限公司 | 会话测试方法、装置、计算机设备和存储介质 |
CN113676373B (zh) * | 2021-08-12 | 2022-08-19 | 深圳追一科技有限公司 | 会话测试方法、装置、计算机设备和存储介质 |
CN115150182A (zh) * | 2022-07-25 | 2022-10-04 | 国网湖南省电力有限公司 | 基于流量分析的信息系统网络攻击检测方法 |
CN115987619A (zh) * | 2022-12-21 | 2023-04-18 | 中国电子科技集团公司第三十研究所 | 网络流量异常检测方法、装置、设备及介质 |
CN116318872A (zh) * | 2023-02-13 | 2023-06-23 | 山东云天安全技术有限公司 | 一种通过报文确定异常会话的方法、电子设备及存储介质 |
CN116318872B (zh) * | 2023-02-13 | 2023-10-27 | 山东云天安全技术有限公司 | 一种通过报文确定异常会话的方法、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112565270B (zh) | 2022-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112565270B (zh) | Http会话异常检测方法及检测系统 | |
CN110113226B (zh) | 一种检测设备异常的方法及装置 | |
CN107528832B (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
CN107332848B (zh) | 一种基于大数据的网络流量异常实时监测系统 | |
US20090245109A1 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
CN102932348A (zh) | 一种钓鱼网站的实时检测方法及系统 | |
US10719768B1 (en) | System and method for detecting an undesirable event | |
CN111782484B (zh) | 一种异常检测方法及装置 | |
CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
CN106951776A (zh) | 一种主机异常检测方法和系统 | |
CN114143037A (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
CN111191720B (zh) | 一种业务场景的识别方法、装置及电子设备 | |
CN114168374A (zh) | 基于集成异常检测器与根因分析结合的异常数据定位方法 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN111464510A (zh) | 一种基于快速梯度提升树模型的网络实时入侵检测方法 | |
CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
CN114125848A (zh) | 一种电力移动互联业务安全防护方法及系统 | |
CN111784404B (zh) | 一种基于行为变量预测的异常资产识别方法 | |
CN112953948A (zh) | 一种实时网络横向蠕虫攻击流量检测方法及装置 | |
CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
CN114070641B (zh) | 一种网络入侵检测方法、装置、设备和存储介质 | |
Farid et al. | Learning intrusion detection based on adaptive bayesian algorithm | |
CN116069607A (zh) | 基于图卷积神经网络的移动办公用户异常行为检测方法 | |
CN113468555A (zh) | 一种客户端访问行为识别方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |