[发明专利]HTTP恶意流量的检测方法及系统

权利要求书

1.一种HTTP恶意流量的检测方法，其特征在于，包括：

抓取网络流量数据，并对所述网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；

对所述格式化数据进行特征提取，得到每条所述格式化数据的文本向量特征；具体包括：基于N-gram分词方法对所述格式化数据进行分词处理，得到若干分词，使用字符标志对所述分词进行区分；计算各所述分词的词频-逆文本频率指数TF-IDF权重；基于词向量工具将各所述分词转化为固定维度的向量；基于各分词的TF-IDF权重，使用加权平均的方式将每条所述固定维度的向量转化为文本向量特征；

基于预先训练的恶意流量检测模型对所述向量特征进行分类检测，检测出HTTP恶意请求；

基于相似攻击聚类算法对所述HTTP恶意请求进行相似攻击聚类，得到聚类簇；具体包括：利用Kmeans算法对所述HTTP恶意请求的流量数据的文本向量特征进行初始聚类，聚类类别为X，使每一所述类别中的攻击数据属于同一类攻击，将向量空间划分成X个节点；针对X个所述节点中的数据，计算簇质心，并针对X个所述簇质心计算相关系数矩阵，所述相关系数矩阵的维度为X²，其中相关系数使用pearson相关系数；将所述相关系数矩阵看作无向图，设立空间相邻阈值，当所述相关系数大于Y时，认为所述节点在空间上相邻；计算每个所述节点的相邻节点，并以所述相邻节点最多的所述节点为权重进行排序，拥有越多所述节点相连的节点具有越高的优先级；对排序后的相关节点进行划分，将无向图中连通的节点划分为同一攻击方式以生成多个不同攻击类型的聚类簇，每种所述聚类簇代表着一种相似的攻击；

基于所述聚类簇进行分析，得到所述HTTP恶意请求的恶意攻击信息；具体包括：提取所述聚类簇中的设定字段；将所述设定字段与HTTP恶意流量数据库中存储的字段进行比对；如果所述设定字段与所存储的一个字段一致，则将所述HTTP恶意流量数据库中与所述字段对应的信息确定为恶意攻击信息；如果所述设定字段与所存储的任一个字段都不一致，则提取所述聚类簇中每一簇的频繁项集，基于所述频繁项集确定恶意攻击信息；其中，所述HTTP恶意请求的恶意攻击信息包括：攻击者、攻击行为、恶意IP、恶意HTTP请求负载、攻击针对平台信息、漏洞编号和漏洞解决办法。

2.根据权利要求1所述的方法，其特征在于，所述对所述网络流量数据进行预处理，包括：

判断所述网络流量数据是否属于HTTP请求，如果判断为否，则对不属于HTTP请求的网络流量数据进行过滤；

如果判断为是，则对所述HTTP请求进行以下处理的一种或多种：

判断所述HTTP请求是否属于二进制格式，如果判断为是，则将所述二进制格式的HTTP请求格式化为文本结构；

判断所述HTTP请求的请求体是否为静态文件或请求体的所有字段是否为空，如果判断为是，则去除对应的HTTP请求；

提取所述HTTP请求中的脏数据，并对所述脏数据进行统一化处理；

判断所述HTTP请求中是否存在指定编码，如果判断为是，则将所述HTTP请求进行解码处理。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于所述分类检测的结果、相似攻击聚类的结果、所述聚类簇的分析结果生成检测报告；

将所述检测报告存储到HTTP恶意流量数据库中。