CN112565270A - Http会话异常检测方法及检测系统 - Google Patents

Http会话异常检测方法及检测系统 Download PDF

Info

Publication number
CN112565270A
CN112565270A CN202011421946.7A CN202011421946A CN112565270A CN 112565270 A CN112565270 A CN 112565270A CN 202011421946 A CN202011421946 A CN 202011421946A CN 112565270 A CN112565270 A CN 112565270A
Authority
CN
China
Prior art keywords
session
http
access
point
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011421946.7A
Other languages
English (en)
Other versions
CN112565270B (zh
Inventor
孙毅臻
高隽
曹琳婧
王伟平
谢一曼
田峥
田建伟
陈中伟
刘扬
贺泽华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202011421946.7A priority Critical patent/CN112565270B/zh
Publication of CN112565270A publication Critical patent/CN112565270A/zh
Application granted granted Critical
Publication of CN112565270B publication Critical patent/CN112565270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/332Query formulation
    • G06F16/3329Natural language query formulation or dialogue systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3344Query execution using natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种HTTP会话异常检测方法,包括对HTTP流量进行识别;提取每个HTTP用户会话的特征;对每个HTTP会话所对应的会话特征进行向量化处理得到特征向量;对于会话集合采用聚类算法进行聚类和标记并判断得到异常会话。本发明还提供了一种实现所述HTTP会话异常检测方法的检测系统。本发明根据HTTP流量划分的用户会话,在无需标签数据的情况下利用聚类算法进行高效聚类和核心点保存,利用保存的核心点,计算待测HTTP会话与核心点的距离来发现HTTP流量中的会话异常,进而发现Web攻击;本发明解决了现有技术存在的大量问题,而且可靠性高、实用性好而且准确性较高。

Description

HTTP会话异常检测方法及检测系统
技术领域
本法民属于网络安全领域,具体涉及一种HTTP会话异常检测方法及检测系统。
背景技术
随着经济技术的发展,Web应用服务已经广泛应用于人们的生产和生活当中,给人们的生产和生活带来了无尽的便利。
但是,随着Web应用服务的增长,针对Web应用服务的攻击也迅速增长。攻击手段不断推陈出新,引发网络安全事件层出不穷,不仅造成经济损失,也对社会产生不良影响。
为了抵御Web攻击,传统的解决方案是通过在WAF(Web Application Firewall,Web应用防火墙)上部署误用检测方法:即基于预先定义好的攻击规则集,对HTTP(HyperText Transfer Protocol,超文本传输协议)请求进行拦截或者放行。这种误用检测方法虽然可以低误报地检测大多数攻击,但是无法检测未知异常,而且弱规则容易被攻击者绕过。此外,规则的更新维护需要经验丰富的专家分析制定,对攻击检测有一定的延迟。
为了弥补误用检测的不足,目前研究者们主要关注异常检测方法;该方法构建检测对象的正常行为模型,偏离正常行为模型的行为表示异常行为。异常检测的方法可以检测新的攻击类型,但是误报率相对误用检测方法高,而且不能识别具体的攻击类型。同时,现有的检测算法多数需要依赖大量攻击样本或者大量的正常样本,而实际采集数据中攻击样本数据远远少于正常数据样本,且很难覆盖全部攻击类型;尤其在不同网站环境下,获得标签数据十分困难。
发明内容
本发明的目的之一在于提供一种可靠性高、实用性好而且准确性较高的HTTP会话异常检测方法。
本发明的目的之二在于提供一种实现所述HTTP会话异常检测方法的检测系统。
本发明提供的这种HTTP会话异常检测方法,包括如下步骤:
S1.对HTTP流量进行识别;
S2.提取每个HTTP用户会话的特征;
S3.对每个HTTP会话所对应的会话特征进行向量化处理,从而得到对应的特征向量;
S4.对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话。
所述的HTTP会话异常检测方法,还包括如下步骤:
S5.对于新的待检测的HTTP流量,首先进行用户会话识别,然后将提取用户会话的特征,计算特征向量,并计算特征向量到步骤S4得到的聚类中心的距离,并在距离大于设定值时判定为异常会话。
步骤S1所述的对HTTP流量进行识别,具体为采用IP来区分不同的用户,然后再进行会话识别;会话定义为用于从进入站点到离开站点所经历的时间。
步骤S2所述的提取每个HTTP用户会话的特征,具体为对划分的每个HTTP用户会话,提取该会话的如下特征:
异常UserAgent的占比:表示UserAgent访问量在该会话总访问量中的占比;其中异常UserAgent指的是包含spider、bot、yahoo!slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc关键字的UserAgent;
非GET/POST占比:表示除GET/POST方法之外的访问量在总访问量中的占比;除GET/POST方法之外的方法,还包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND;
POST方法的占比:表示POST方法的访问量在总访问量中的占比;
返回状态码的占比:表示返回状态码≥400的访问量在总访问量中的占比;
访问量:表位在过滤掉静态页面访问记录的情况下,该会话的总访问数量;
访问频率:表示平均每分钟用户的访问量;
referer为空或者一致的占比:表示referer全部为空或全部一致的情况在总referer中的占比;
访问敏感文件的次数:表示访问敏感文件的访问量;敏感文件包括ini文件、php文件和conf文件;
浏览器自动访问请求的占比:表示自动访问请求访问量在该会话总访问量的占比;
访问同一页面占比:对访问uri进行预处理,处理成path+?+参数名1=+&+参数名2=的形式,同时取该会话里访问量最大的某个页面,计算其访问量与总访问量的比值。
步骤S4所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为对于会话集合S,利用DBSCAN算法,对其中的会话进行聚类,标记离群点、边界点以及核心点,并判定离群点对应的所有会话均为异常会话。
所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为利用DBSCAN算法进行聚类过程中,对于会话集合S中任意两个会话,计算其特征向量之间的欧式距离,作为这两个样本点之间的距离;基于计算出的样本点之间的距离,统计会话点p的邻域范围内的样本点数据,对于会话集合S中的每个会话p1,若其在会话点p的邻域范围内,则令会话点p的邻域范围内的样本点数量加1;若会话点p的邻域范围内的总样本点数量大于或等于设置的邻域密度阈值,则该会话点为核心点;若会话点p在其邻域范围内含有点的数量小于设置的邻域密度阈值,但是该会话点p落在核心点的邻域内,则该对象为边界点;若一个会话点既不是核心点,也不是边界点,则该会话点被标记为不属于任何簇的离群点,并判定离群点对应的所有会话均为异常会话。
本发明还提供了一种实现所述HTTP会话异常检测方法的检测系统,包括流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块;流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块依次串联;流量识别模块用于对HTTP流量进行识别,并将识别结果上传会话特征提取模块;会话特征提取模块用于提取每个HTTP用户会话的特征,并将提取结果上传特征向量提取模块;特征向量提取模块用于对每个HTTP会话所对应的会话特征进行向量化处理,得到对应的特征向量并上传异常会话判定模块;异常会话判定模块用于对于会话集合采用聚类算法进行聚类和标记,从而判断得到异常会话。
本发明提供的这种HTTP会话异常检测方法及检测系统,根据HTTP流量划分的用户会话,在无需标签数据的情况下利用聚类算法进行高效聚类和核心点保存,利用保存的核心点,计算待测HTTP会话与核心点的距离来发现HTTP流量中的会话异常,进而发现Web攻击;本发明可以应用于Web安全领域,可以方便地部署在记录HTTP访问的旁路设备上,用于HTTP会话的异常检测和报警,解决了现有Web应用防火墙对未知异常无法检测、更新维护成本高,或误报率高、需要获得标签数据的问题,也解决了现有方法仅对单条HTTP访问进行检测,忽略了用户在一段时间内的访问的缺陷;本发明方法的可靠性高、实用性好而且准确性较高。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明系统的功能模块图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种HTTP会话异常检测方法,包括如下步骤:
S1.对HTTP流量进行识别;具体为采用IP来区分不同的用户,然后再进行会话识别;会话定义为用于从进入站点到离开站点所经历的时间;
S2.提取每个HTTP用户会话的特征;具体为对划分的每个HTTP用户会话,提取该会话的如下特征:
异常UserAgent的占比:表示UserAgent访问量在该会话总访问量中的占比;其中异常UserAgent指的是包含spider、bot、yahoo!slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc关键字的UserAgent;
非GET/POST占比:表示除GET/POST方法之外的访问量在总访问量中的占比;除GET/POST方法之外的方法,还包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND;
POST方法的占比:表示POST方法的访问量在总访问量中的占比;
返回状态码的占比:表示返回状态码≥400的访问量在总访问量中的占比;
访问量:表位在过滤掉静态页面访问记录的情况下,该会话的总访问数量;
访问频率:表示平均每分钟用户的访问量;
referer为空或者一致的占比:表示referer全部为空或全部一致的情况在总referer中的占比;
访问敏感文件的次数:表示访问敏感文件的访问量;敏感文件包括ini文件、php文件和conf文件;
浏览器自动访问请求的占比:表示自动访问请求访问量在该会话总访问量的占比;
访问同一页面占比:对访问uri进行预处理,处理成path+?+参数名1=+&+参数名2=的形式,同时取该会话里访问量最大的某个页面,计算其访问量与总访问量的比值;
S3.对每个HTTP会话所对应的会话特征进行向量化处理,从而得到对应的特征向量;
具体实施时,将HTTP会话的10个特征作为特征向量中的10个特征维度,对于每个HTTP会话,其对应的10个特征都是数值,为了消除特征之间不同量级导致的影响,需要将特征归一化到同一个范围内;由于访问量、访问频率、访问敏感文件的次数变化的区间过大,为了获取更好的性能,避免聚类时对这些特征过于依赖,需要对这三个特征进行归一化;对访问量、访问频率进行最小最大标准化;其中最小最大标准化的公式是:y=(x-min)/(max-min),min是所有会话样本的相应特征(访问量/访问频率)的最小值,max是所有会话样本的相应特征(访问量/访问频率)的最大值;对访问敏感文件的次数进行标准差标准化,其中,标准差标准化的公式是:y=(x-μ)/σ,μ是所有会话样本的相应特征(访问敏感文件的次数)的均值,σ是所有会话样本的相应特征(访问敏感文件的次数)的标准差;
S4.对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话;具体为对于会话集合S,利用DBSCAN算法,对其中的会话进行聚类,标记离群点、边界点以及核心点,并判定离群点对应的所有会话均为异常会话;
具体实施时,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为利用DBSCAN算法进行聚类过程中,对于会话集合S中任意两个会话,计算其特征向量之间的欧式距离,作为这两个样本点之间的距离;基于计算出的样本点之间的距离,统计会话点p的邻域范围内的样本点数据,对于会话集合S中的每个会话p1,若其在会话点p的邻域范围内,则令会话点p的邻域范围内的样本点数量加1;若会话点p的邻域范围内的总样本点数量大于或等于设置的邻域密度阈值,则该会话点为核心点;若会话点p在其邻域范围内含有点的数量小于设置的邻域密度阈值,但是该会话点p落在核心点的邻域内,则该对象为边界点;若一个会话点既不是核心点,也不是边界点,则该会话点被标记为不属于任何簇的离群点,并判定离群点对应的所有会话均为异常会话;
S5.对于新的待检测的HTTP流量,首先进行用户会话识别,然后将提取用户会话的特征,计算特征向量,并计算特征向量到步骤S4得到的聚类中心的距离,并在距离大于设定值时判定为异常会话。
以下结合一个具体实施例,对本发明方法进行进一步说明:
测试环境:CPU为Intel Core i7-8700处理器,内存8GB,Windows操作系统。
测试数据:通过关键字匹配和人工验证对来自某公司提供的2个网站一周和一个月真实访问流量进行标记,Traffic1和Traffic3来自A网站,Traffic2和Traffic4来自B网站。数据集的详细信息如表1所示。
表1数据集详细信息示意表
流量数据集 时间 会话数量
Traffic1 一周 1617
Traffic2 一周 18841
Traffic3 一个月 4436
Traffic4 一个月 149008
在表1所示的4个HTTP流量数据集上测试了本发明异常检测方法的有效性。本发明利用DBSCAN算法得到的核心点对HTTP会话进行异常检测(简称核心点检测),在保存核心点的过程中,主要经过两步:基于DBSCAN算法确定会话点为核心点、边界点还是离群点(简称DBSCAN-based),第二,根据DBSCAN算法确定的核心点来判断待测的HTTP会话是否为异常会话。表2说明了本发明中DBSCAN-based和核心点检测的测试结果。表2中Traffic1、Traffic2利用DBSCAN-based方法进行检测,并分别获取其检测结果的核心点,用其核心点分别检测Traffic3、Traffic4。
表2对比测试结果示意表
Figure BDA0002822765090000081
从表2中可以看出,本发明中DBSCAN-based和核心点检测方法的测试效果都很好,误报率很低。
如图2所示为本发明系统的功能模块图:本发明提供的这种实现所述HTTP会话异常检测方法的检测系统,包括流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块;流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块依次串联;流量识别模块用于对HTTP流量进行识别,并将识别结果上传会话特征提取模块;会话特征提取模块用于提取每个HTTP用户会话的特征,并将提取结果上传特征向量提取模块;特征向量提取模块用于对每个HTTP会话所对应的会话特征进行向量化处理,得到对应的特征向量并上传异常会话判定模块;异常会话判定模块用于对于会话集合采用聚类算法进行聚类和标记,从而判断得到异常会话。

Claims (7)

1.一种HTTP会话异常检测方法,包括如下步骤:
S1.对HTTP流量进行识别;
S2.提取每个HTTP用户会话的特征;
S3.对每个HTTP会话所对应的会话特征进行向量化处理,从而得到对应的特征向量;
S4.对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话。
2.根据权利要求1所述的HTTP会话异常检测方法,其特征在于还包括如下步骤:
S5.对于新的待检测的HTTP流量,首先进行用户会话识别,然后将提取用户会话的特征,计算特征向量,并计算特征向量到步骤S4得到的聚类中心的距离,并在距离大于设定值时判定为异常会话。
3.根据权利要求1或2所述的HTTP会话异常检测方法,其特征在于步骤S1所述的对HTTP流量进行识别,具体为采用IP来区分不同的用户,然后再进行会话识别;会话定义为用于从进入站点到离开站点所经历的时间。
4.根据权利要求3所述的HTTP会话异常检测方法,其特征在于步骤S2所述的提取每个HTTP用户会话的特征,具体为对划分的每个HTTP用户会话,提取该会话的如下特征:
异常UserAgent的占比:表示UserAgent访问量在该会话总访问量中的占比;其中异常UserAgent指的是包含spider、bot、yahoo!slurp、crawler、nmap、nikto、sqlmap、appscan、acunetix、rsas、webreaver和hp asc关键字的UserAgent;
非GET/POST占比:表示除GET/POST方法之外的访问量在总访问量中的占比;除GET/POST方法之外的方法,还包括HEAD、PUT、CONNECT、OPTIONS和PROPFIND;
POST方法的占比:表示POST方法的访问量在总访问量中的占比;
返回状态码的占比:表示返回状态码≥400的访问量在总访问量中的占比;
访问量:表位在过滤掉静态页面访问记录的情况下,该会话的总访问数量;
访问频率:表示平均每分钟用户的访问量;
referer为空或者一致的占比:表示referer全部为空或全部一致的情况在总referer中的占比;
访问敏感文件的次数:表示访问敏感文件的访问量;敏感文件包括ini文件、php文件和conf文件;
浏览器自动访问请求的占比:表示自动访问请求访问量在该会话总访问量的占比;
访问同一页面占比:对访问uri进行预处理,处理成path+?+参数名1=+&+参数名2=的形式,同时取该会话里访问量最大的某个页面,计算其访问量与总访问量的比值。
5.根据权利要求4所述的HTTP会话异常检测方法,其特征在于步骤S4所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为对于会话集合S,利用DBSCAN算法,对其中的会话进行聚类,标记离群点、边界点以及核心点,并判定离群点对应的所有会话均为异常会话。
6.根据权利要求5所述的HTTP会话异常检测方法,其特征在于所述的对于会话集合,采用聚类算法进行聚类和标记,从而判断得到异常会话,具体为利用DBSCAN算法进行聚类过程中,对于会话集合S中任意两个会话,计算其特征向量之间的欧式距离,作为这两个样本点之间的距离;基于计算出的样本点之间的距离,统计会话点p的邻域范围内的样本点数据,对于会话集合S中的每个会话p1,若其在会话点p的邻域范围内,则令会话点p的邻域范围内的样本点数量加1;若会话点p的邻域范围内的总样本点数量大于或等于设置的邻域密度阈值,则该会话点为核心点;若会话点p在其邻域范围内含有点的数量小于设置的邻域密度阈值,但是该会话点p落在核心点的邻域内,则该对象为边界点;若一个会话点既不是核心点,也不是边界点,则该会话点被标记为不属于任何簇的离群点,并判定离群点对应的所有会话均为异常会话。
7.一种实现权利要求1~6之一所述的HTTP会话异常检测方法的检测系统,其特征在于包括流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块;流量识别模块、会话特征提取模块、特征向量提取模块和异常会话判定模块依次串联;流量识别模块用于对HTTP流量进行识别,并将识别结果上传会话特征提取模块;会话特征提取模块用于提取每个HTTP用户会话的特征,并将提取结果上传特征向量提取模块;特征向量提取模块用于对每个HTTP会话所对应的会话特征进行向量化处理,得到对应的特征向量并上传异常会话判定模块;异常会话判定模块用于对于会话集合采用聚类算法进行聚类和标记,从而判断得到异常会话。
CN202011421946.7A 2020-12-08 2020-12-08 Http会话异常检测方法及检测系统 Active CN112565270B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011421946.7A CN112565270B (zh) 2020-12-08 2020-12-08 Http会话异常检测方法及检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011421946.7A CN112565270B (zh) 2020-12-08 2020-12-08 Http会话异常检测方法及检测系统

Publications (2)

Publication Number Publication Date
CN112565270A true CN112565270A (zh) 2021-03-26
CN112565270B CN112565270B (zh) 2022-04-29

Family

ID=75059451

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011421946.7A Active CN112565270B (zh) 2020-12-08 2020-12-08 Http会话异常检测方法及检测系统

Country Status (1)

Country Link
CN (1) CN112565270B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612657A (zh) * 2021-07-31 2021-11-05 南京云利来软件科技有限公司 一种异常http连接的检测方法
CN113676373A (zh) * 2021-08-12 2021-11-19 深圳追一科技有限公司 会话测试方法、装置、计算机设备和存储介质
US20220253549A1 (en) * 2021-02-08 2022-08-11 Capital One Services, Llc Methods and systems for automatically preserving a user session on a public access shared computer
CN115150182A (zh) * 2022-07-25 2022-10-04 国网湖南省电力有限公司 基于流量分析的信息系统网络攻击检测方法
CN115987619A (zh) * 2022-12-21 2023-04-18 中国电子科技集团公司第三十研究所 网络流量异常检测方法、装置、设备及介质
CN116318872A (zh) * 2023-02-13 2023-06-23 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130097706A1 (en) * 2011-09-16 2013-04-18 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
CN109960729A (zh) * 2019-03-28 2019-07-02 国家计算机网络与信息安全管理中心 Http恶意流量的检测方法及系统
CN110351301A (zh) * 2019-07-26 2019-10-18 长沙市智为信息技术有限公司 一种http请求双层递进式异常检测方法
CN111182002A (zh) * 2020-02-19 2020-05-19 北京亚鸿世纪科技发展有限公司 基于http首个问答包聚类分析的僵尸网络检测装置
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130097706A1 (en) * 2011-09-16 2013-04-18 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
CN109960729A (zh) * 2019-03-28 2019-07-02 国家计算机网络与信息安全管理中心 Http恶意流量的检测方法及系统
CN110351301A (zh) * 2019-07-26 2019-10-18 长沙市智为信息技术有限公司 一种http请求双层递进式异常检测方法
CN111182002A (zh) * 2020-02-19 2020-05-19 北京亚鸿世纪科技发展有限公司 基于http首个问答包聚类分析的僵尸网络检测装置
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220253549A1 (en) * 2021-02-08 2022-08-11 Capital One Services, Llc Methods and systems for automatically preserving a user session on a public access shared computer
CN113612657A (zh) * 2021-07-31 2021-11-05 南京云利来软件科技有限公司 一种异常http连接的检测方法
CN113676373A (zh) * 2021-08-12 2021-11-19 深圳追一科技有限公司 会话测试方法、装置、计算机设备和存储介质
CN113676373B (zh) * 2021-08-12 2022-08-19 深圳追一科技有限公司 会话测试方法、装置、计算机设备和存储介质
CN115150182A (zh) * 2022-07-25 2022-10-04 国网湖南省电力有限公司 基于流量分析的信息系统网络攻击检测方法
CN115987619A (zh) * 2022-12-21 2023-04-18 中国电子科技集团公司第三十研究所 网络流量异常检测方法、装置、设备及介质
CN116318872A (zh) * 2023-02-13 2023-06-23 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质
CN116318872B (zh) * 2023-02-13 2023-10-27 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质

Also Published As

Publication number Publication date
CN112565270B (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
CN112565270B (zh) Http会话异常检测方法及检测系统
CN110113226B (zh) 一种检测设备异常的方法及装置
CN107528832B (zh) 一种面向系统日志的基线构建与未知异常行为检测方法
CN111262722B (zh) 一种用于工业控制系统网络的安全监测方法
CN107332848B (zh) 一种基于大数据的网络流量异常实时监测系统
US20090245109A1 (en) Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
CN102932348A (zh) 一种钓鱼网站的实时检测方法及系统
US10719768B1 (en) System and method for detecting an undesirable event
CN111782484B (zh) 一种异常检测方法及装置
CN112491779B (zh) 一种异常行为检测方法及装置、电子设备
CN106951776A (zh) 一种主机异常检测方法和系统
CN114143037A (zh) 一种基于进程行为分析的恶意加密信道检测方法
CN111191720B (zh) 一种业务场景的识别方法、装置及电子设备
CN114168374A (zh) 基于集成异常检测器与根因分析结合的异常数据定位方法
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN111464510A (zh) 一种基于快速梯度提升树模型的网络实时入侵检测方法
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
CN114125848A (zh) 一种电力移动互联业务安全防护方法及系统
CN111784404B (zh) 一种基于行为变量预测的异常资产识别方法
CN112953948A (zh) 一种实时网络横向蠕虫攻击流量检测方法及装置
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN114070641B (zh) 一种网络入侵检测方法、装置、设备和存储介质
Farid et al. Learning intrusion detection based on adaptive bayesian algorithm
CN116069607A (zh) 基于图卷积神经网络的移动办公用户异常行为检测方法
CN113468555A (zh) 一种客户端访问行为识别方法、系统及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant