摘要: 基于规则的传统WAF难以检测未知和变种威胁,而基于机器学习的Web入侵检测模型虽然弥补了传统规则库方法的不足,但其在硬件WAF中难以部署且存在概念分布漂移问题.因此,针对硬件WAF场景下的HTTP异常流量检测,提出了一种改进的在线学习算法EHST(extended half space tree),该方法在公共数据集HTTP CSIC2010和ECMLPKDD 2007中相比原始HST算法具有更好的异常检出率和鲁棒性.同时,结合该算法和混合入侵检测系统的思路,提出了一套人机闭环的检测系统,该系统在真实应用实践中有效弥补了基于规则WAF的不足.
中图分类号: