截至2018年初,我国网站数量已经突破了500万个,国家信息化水平日渐提升,然而,在我国互联网网站建设处于急速发展的同时,网站安全正面临着巨大的威胁,针对互联网金融网站,国家互联网应急中心选取了1000多家进行安全检测和评估,发现了400多个网站高风险漏洞,其中包括XSS跨站脚本攻击、文件上传攻击、SQL注入攻击等漏洞。因此,在国家对信息化规划愈加重视的时代背景下,信息网络的安全防御工作尤为重要。传统的入侵检测和安全防御机制通常根据规则或黑名单进行拦截,比如防火墙和杀毒软件等,然而现在的黑客技术更加复杂多变,网络安全应该化被动防御为主动检测,在网络攻击发生之前识别出异常流量。而机器学习方法一直作为研究热点,已经广泛应用于文字、图像和语音等方面。机器学习方法通过对大量数据进行学习和训练,最终来完成特定场景的识别、预测和决策等功能。因此结合机器学习方法的Web入侵检测技术更适用于错综复杂的网络环境,有望打破传统方法的局限,发现新的安全威胁,推进Web安全入侵检测工作的发展。Web安全问题日趋复杂,针对Web网站攻击的方法包括通过Web页面插入恶意代码,构造恶意的Web请求,控制执行恶意软件等,因此,Web攻击的检测主要对象为提交的恶意代码、Web请求信息以及控制主机的恶意域名。本文主要关注对象为Web请求结构和DGA(Domain generation algorithms)域名,DGA域名是控制主机为了躲避检测利用随机算法生成的域名。综合考虑异常检测基本思路和机器学习的方法,本文从浏览器指纹信息中提取域名信息和结构信息,构造请求指纹信息,运用信息熵和N-gram的思想提取域名特征作为DGA域名的分类基础,并选择随机森林分类算法来进行DGA域名过滤;运用局部敏感哈希算法和莱文斯坦距离的度量算法作为结构信息的层次聚类基础,并采用正则表达式作分类预测方法来检测结构异常,最终,本文提出了基于机器学习方法的浏览器指纹异常检测模型,关注Web请求过程中的浏览器请求结构和请求通信中恶意域名,旨在降低Web安全检测中对恶意代码的分析成本,提高Web安全检测的性能,实现Web入侵异常检测效率的优化。本文构建了基于机器学习方法的浏览器指纹异常检测模型框架,该框架主要由三部分构成,数据采集模块、数据预处理模块、数据分析模块。在数据分析模块中,将DGA域名过滤子模型和结构异常子模型串联成综合异常检测模型,两个子模型协同工作,使用综合模型取代单一子模型,并将机器学习方法和文本分析方法应用于Web安全检测领域。最终实验结果表明,本文提出的DGA域名过滤子模型具有高检测率和低误报率,结构异常子模型在识别恶意请求中的结构异常具有一定的有效性,综合模型在检测性能和时间性能上有良好的表现。