实时HTTP会话模型：异常流量检测新方法

"HTTP会话模型及其在异常HTTP流检测中的应用，谢逸，中山大学信息科学与技术学院，广州市邮编510006。本文提出了一种新的实时HTTP会话模型，用于网络边界的HTTP流异常检测，避免了传统方法中需要人工预设门限值和依赖客户端或服务器数据的缺点。通过使用带状态停留的隐马尔科夫模型（HMM）来描述、聚类和跟踪HTTP会话行为，结合概率函数进行会话过程的预测，并通过比较预测与实际观测行为的偏差来检测伪装的Web行为。实验在大型Web代理采集的真实HTTP网络流上验证了该方法的有效性。关键词包括：HTTP会话模型、异常检测、Web流。" 这篇论文主要探讨的是在HTTP流量监控中如何更有效地检测异常行为，特别是针对网络边界的HTTP流。传统的HTTP会话检测方法通常需要人为设定阈值，并且依赖于客户端和服务器端的数据，这可能导致检测效果受限且不适应网络环境的变化。谢逸提出的新型实时HTTP会话模型则解决了这些问题。 首先，该模型引入了一个基于HTTP请求之间到达时间的新参数，这是一个重要的创新点。通过这个参数，模型可以更准确地捕捉到HTTP会话的动态特性。此外，论文还引入了一种非线性算法进行量化处理，这有助于模型对复杂网络行为的理解和建模。 核心部分是使用带状态停留的隐马尔科夫模型。HMM是一种统计建模工具，特别适合处理序列数据，如HTTP请求的顺序。在这个模型中，HTTP会话的行为被描述为一系列的状态转换，每个状态代表特定类型的网络活动。通过学习这些状态和它们之间的转移概率，模型能够描述正常HTTP会话的模式。 接着，模型利用定义的概率函数进行会话过程的预测。预测结果与实际观测到的HTTP流行为进行对比，如果存在显著偏差，可能表明存在异常或伪装的Web行为。这种基于预测偏差的检测方法更加灵活，能够适应不断变化的网络环境。 最后，为了验证该模型的性能，论文在实际网络环境中进行了实验，使用来自大型Web代理的HTTP流量数据。实验结果证明了该模型在异常检测方面的有效性，为网络管理员提供了更强大、更智能的工具来检测和防止潜在的安全威胁。 这篇论文的贡献在于提供了一种无需预设阈值、更依赖于数据驱动的HTTP会话模型，通过这种方法可以更精确地识别网络流量中的异常行为，提升了网络安全性。这种方法对于现代网络环境下的安全防护具有重要的实践意义。