CN106209845A - 一种基于贝叶斯学习理论的恶意http请求判定方法 - Google Patents
一种基于贝叶斯学习理论的恶意http请求判定方法 Download PDFInfo
- Publication number
- CN106209845A CN106209845A CN201610546795.5A CN201610546795A CN106209845A CN 106209845 A CN106209845 A CN 106209845A CN 201610546795 A CN201610546795 A CN 201610546795A CN 106209845 A CN106209845 A CN 106209845A
- Authority
- CN
- China
- Prior art keywords
- http request
- sample
- request
- value
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于贝叶斯学习理论的恶意HTTP请求判定方法,该方法包括步骤如下:收集设定数量的正常HTTP请求和恶意HTTP请求;将收集的正常HTTP请求和恶意HTTP请求分别进行处理获得样本集,样本集中的样本包括样本类别和样本特征空间:将样本集作为训练集输入,利用贝叶斯分类学习算法,学习获得一个二次分类器;对待判定的HTTP请求,提取判定特征,获得判定特征空间,利用二次分类器中进行预测,判定是恶意的HTTP请求还是正常的HTTP请求,并以判定结果为待判定的HTTP请求添加标签,由此获得判定结果。该方法能够判断从用户终端侧发起的HTTP请求时恶意的请求还是正常的请求。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于贝叶斯学习理论的恶意HTTP请求判定方法。
背景技术
由于HTTP协议的标准性和适用性,除了普通的web网站类服务外,很多新兴的各种移动应用程序APP也开始使用HTTP协议来进行数据通讯。有很多应用都通过偷偷驻留后台的方式,自动向服务端发送HTTP请求消息传输数据。如果是恶意应用,这些HTTP请求会涉及到窃取用户隐私,僵尸木马消息传播等恶意行为。
HTTP请求是从用户测向服务端测发起的消息,一般使用HTTP GET方式或者HTTPPOST方式。对于HTTP GET方法,请求消息如下所示:
“/domain-name/demo_form.jsp?name1=value1&name2=value2”
对于POST方法,请求消息如下所示:
“POST/test/demo_form.jsp HTTP/1.1,Host:w3schools.com
name1=value1&name2=value2”。
从以上可得知,不管是HTTP GET请求,还是HTTP POST请求,请求中都含有类似“name=value”字段,这些字段是应用程序自己添加的字段,应用程序正是通过这些字段来传送用户侧的内容。该字段是判断HTTP请求是否是恶意行为的关键所在。
如何去判定从用户侧发出的HTTP请求时正常的还是恶意的,是一个需要解决的技术难题,本发明提出了一种基于贝叶斯理论的方法,能够对HTTP请 求是否是恶意行为进行自动预测和判定。该方法主要基于贝叶斯学习分类理论,该理论已经被应用于垃圾邮件过滤等应用。贝叶斯原理是概率学的一种基本原理,根据条件概率理论和全概率理论,用先验概率来判断后验概率。
发明内容
有鉴于此,本发明提供了一种基于贝叶斯学习理论的恶意HTTP请求判定方法,能够判断从用户终端侧发起的HTTP请求时恶意的请求还是正常的请求。
为了达到上述目的,本发明的技术方案为:一种基于贝叶斯学习理论的恶意HTTP请求判定方法,该方法包括步骤如下:
S1、收集设定数量的正常HTTP请求和恶意HTTP请求。
S2、将收集的正常HTTP请求和恶意HTTP请求分别进行如下S2.1~S2.4的处理,以此获得样本集,具体为:
S2.1、对收集到的HTTP请求进行人工标签分类,如果是正常的HTTP请求,则打上标签0,如果是恶意的HTTP请求,则打上标签1。
S2.2、对所有收集到的HTTP请求,提取其中的“name=value”字段中的“value”字符值信息,以样本集中所有HTTP请求中出现过的“value”字符作为特征空间。
S2.3、将每一条HTTP请求作为一个样本,形成样本集,样本包括样本类别和样本特征空间:
样本的类别为S2.1中已经人工标记好的标签,为0或者1。
样本特征空间为S2.2中的特征空间,并将样本特征空间中对应该样本中出现过的所有“value”字符值的字段标记为1,否则记为0。
S3、将步骤S2中的样本集合作为训练集输入,利用贝叶斯分类学习算法,学习获得一个二次分类器。
S4、对待判定的HTTP请求,提取判定特征,判定特征提取过程如下:建立与S2.2中的特征空间一致的判定特征空间,其中所有字段均初始标记为0,然后将待判定的HTTP请求中出现过的所有“value”字符值对应字段更新为1,其他保持为0不变。
S5、将S4中的待判定的HTTP请求放到S3中的二次分类器中进行预测,判定是恶意的HTTP请求还是正常的HTTP请求,并以判定结果为待判定的HTTP请求添加标签,由此获得判定结果。
进一步地,在S5中,获得判定结果之后,将判定结果中添加了标签的待判定的HTTP请求,作为新的样本加入到训练集中,重复步骤S2和S3,更新二次分类器,直到分类器稳定。
有益效果:
该方法基于贝叶斯学习分类理论,根据已知分类HTTP请求中“name=value”字段出现的概率学习是否是恶意HTTP请求,然后提取未分类HTTP请求中的“name=value”字段信息,来判断该HTTP请求是否恶意的请求,该方法能够快速并准确地判断HTTP请求是否恶意。
具体实施方式
下面举实施例,对本发明进行详细描述。
本发明提出了一种基于贝叶斯理论的方法,能够对HTTP请求是否是恶意行为进行自动预测和判定。该方法主要基于贝叶斯学习分类理论,该理论已经被应用于垃圾邮件过滤等应用。贝叶斯原理是概率学的一种基本原理,根据条件概率理论和全概率理论,用先验概率来判断后验概率。根据已知分类HTTP请求中“name=value”字段出现的概率学习是否是恶意HTTP请求,然后提取未分类HTTP请求中的“name=value”字段信息,来判断该HTTP请求是否恶意的 请求。该方法包括步骤如下:
S1.首先收集一定数量的正常HTTP请求和恶意HTTP请求;
S2.对收集的HTTP请求进行打标签和提取特征,作为训练集输入;
其中,S2还包括如下步骤:
S2.1首先对收集到的HTTP请求进行人工标签分类,如果是正常的HTTP请求,则打上标签0,如果是恶意的HTTP请求,则打上标签1;
S2.2对所有收集到的HTTP请求,提取其中的“name=value”字段中的“value”字符值信息,将所有出现过的“value”字符作为特征空间;
S2.3将每一条HTTP请求作为一个样本,样本的类别为S2.1中已经人工标记好的标签,为0或者1;样本的特征空间为S2.2中的特征空间:如果在该样本中某个“value”字符值出现过,则将该特征字段标记为1,否则记为0;
S2.4将每一个收集的HTTP请求样本作为训练集进行输入;
S3.将步骤S2中的样本集合作为训练集输入,利用贝叶斯分类学习算法,学习到一个二次分类器;
S4.对需要进行判定的HTTP请求,首先提取和计算特征,作为一个样本准备开始预测。特征计算过程如下:将S2.2中的特征空间作为特征空间,全部标记为0,提取该HTTP请求中出现过的所有“name=value”中的“value”字符值,将这些“value”字符值对应的特征更新为1,其他保持为0不变;
S5.将S4中的待预测样本放到S3中学习到的二次分类器中进行预测,判定是否是恶意的HTTP请求还是正常的HTTP请求;
S6.将S5中预测的样本,有选择性进行人工判定确认后,作为新的样本加入到训练集中,重复步骤S2,S3的内容,强化分类器学习,直到分类器稳定。
综上,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均 应包含在本发明的保护范围之内。
Claims (2)
1.一种基于贝叶斯学习理论的恶意HTTP请求判定方法,其特征在于,该方法包括步骤如下:
S1、收集设定数量的正常HTTP请求和恶意HTTP请求;
S2、将收集的正常HTTP请求和恶意HTTP请求分别进行如下S2.1~S2.4的处理,以此获得样本集,具体为:
S2.1、对收集到的HTTP请求进行人工标签分类,如果是正常的HTTP请求,则打上标签0,如果是恶意的HTTP请求,则打上标签1;
S2.2、对所有收集到的HTTP请求,提取其中的“name=value”字段中的“value”字符值信息,以样本集中所有HTTP请求中出现过的“value”字符作为特征空间;
S2.3、将每一条HTTP请求作为一个样本,形成样本集,样本包括样本类别和样本特征空间:
样本的类别为S2.1中已经人工标记好的标签,为0或者1;
样本特征空间为S2.2中的特征空间,并将样本特征空间中对应该样本中出现过的所有“value”字符值的字段标记为1,否则记为0;
S3、将步骤S2中的样本集合作为训练集输入,利用贝叶斯分类学习算法,学习获得一个二次分类器;
S4、对待判定的HTTP请求,提取判定特征,判定特征提取过程如下:建立与S2.2中的特征空间一致的判定特征空间,其中所有字段均初始标记为0,然后将待判定的HTTP请求中出现过的所有“value”字符值对应字段更新为1,其他保持为0不变;
S5、将S4中的待判定的HTTP请求放到S3中的二次分类器中进行预测,判定是恶意的HTTP请求还是正常的HTTP请求,并以判定结果为待判定的HTTP请求添加标签,由此获得判定结果。
2.如权利要求1所述的一种基于贝叶斯学习理论的恶意HTTP请求判定方法,其特征在于,在所述S5中,获得判定结果之后,将判定结果中添加了标签的待判定的HTTP请求,作为新的样本加入到训练集中,重复步骤S2和S3,更新二次分类器,直到分类器稳定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610546795.5A CN106209845A (zh) | 2016-07-12 | 2016-07-12 | 一种基于贝叶斯学习理论的恶意http请求判定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610546795.5A CN106209845A (zh) | 2016-07-12 | 2016-07-12 | 一种基于贝叶斯学习理论的恶意http请求判定方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106209845A true CN106209845A (zh) | 2016-12-07 |
Family
ID=57476516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610546795.5A Pending CN106209845A (zh) | 2016-07-12 | 2016-07-12 | 一种基于贝叶斯学习理论的恶意http请求判定方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106209845A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
CN110912888A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于深度学习的恶意http流量检测***和方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及*** |
CN103401835A (zh) * | 2013-07-01 | 2013-11-20 | 北京奇虎科技有限公司 | 一种展现微博页面的安全检测结果的方法及装置 |
US20140310808A1 (en) * | 2009-03-13 | 2014-10-16 | Danfeng YAO | Detection of Stealthy Malware Activities with Traffic Causality and Scalable Triggering Relation Discovery |
CN104125209A (zh) * | 2014-01-03 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
CN105516196A (zh) * | 2016-01-19 | 2016-04-20 | 国家计算机网络与信息安全管理中心江苏分中心 | 基于http报文数据的并行化网络异常检测方法与*** |
-
2016
- 2016-07-12 CN CN201610546795.5A patent/CN106209845A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140310808A1 (en) * | 2009-03-13 | 2014-10-16 | Danfeng YAO | Detection of Stealthy Malware Activities with Traffic Causality and Scalable Triggering Relation Discovery |
CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及*** |
CN103401835A (zh) * | 2013-07-01 | 2013-11-20 | 北京奇虎科技有限公司 | 一种展现微博页面的安全检测结果的方法及装置 |
CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
CN104125209A (zh) * | 2014-01-03 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
CN105516196A (zh) * | 2016-01-19 | 2016-04-20 | 国家计算机网络与信息安全管理中心江苏分中心 | 基于http报文数据的并行化网络异常检测方法与*** |
Non-Patent Citations (1)
Title |
---|
何苗: ""基于机器学习的移动数据安全检测技术研究"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
CN110912888A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于深度学习的恶意http流量检测***和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109495467B (zh) | 拦截规则的更新方法、设备及计算机可读存储介质 | |
CN103516586B (zh) | 一种即时通信***的在线用户行为分析*** | |
CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控*** | |
CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
CN102368853B (zh) | 通信事件处理方法及*** | |
CN105321108A (zh) | 一种用于在对等网络上创建共享信息列表的***和方法 | |
CN107277036A (zh) | 基于多站点数据的登录验证方法、验证设备及存储介质 | |
CN104954372A (zh) | 一种钓鱼网站的取证与验证方法及*** | |
CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
CN105376223B (zh) | 网络身份关系的可靠度计算方法 | |
CN105978717A (zh) | 网络账号识别方法和装置 | |
CN104767713A (zh) | 账号绑定的方法、服务器及*** | |
CN103297267A (zh) | 一种网络行为的风险评估方法和*** | |
CN108270723A (zh) | 一种电力网络预测攻击路径的获取方法 | |
CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
CN115270996A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
CN104994105A (zh) | 一种Android智能终端安全认证方法 | |
CN103391274A (zh) | 一种一体化网络安全管理方法和装置 | |
CN106209845A (zh) | 一种基于贝叶斯学习理论的恶意http请求判定方法 | |
CN109446791A (zh) | 新设备识别方法、装置、服务器及计算机可读存储介质 | |
ES2388928T3 (es) | Procedimiento y equipos de control de acceso a flujos de IP de multidifusión | |
Chen et al. | Network intrusion detection using class association rule mining based on genetic network programming | |
CN107948149B (zh) | 基于随机森林的策略自学习和优化方法及装置 | |
KR102318496B1 (ko) | 블록체인 네트워크에 기반하여 어뷰징을 탐지하는 방법 및 이를 이용한 블록체인 노드 | |
CN107864146A (zh) | 一种安全的云存储*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161207 |
|
WD01 | Invention patent application deemed withdrawn after publication |