在現網際路普及的世界下,大多企業資料都儲存內部主機而這些 在現網際路普及的世界下,大多企業資料都儲存內部主機而這些 在現網際路普及的世界下,大多企業資料都儲存內部主機而這些 在現網際路普及的世界下,大多企業資料都儲存內部主機而這些 在現網際路普及的世界下,大多企業資料都儲存內部主機而這些 主機勢必與網路直接或間的聯繫,雖然方便存取和管理 主機勢必與網路直接或間的聯繫,雖然方便存取和管理 主機勢必與網路直接或間的聯繫,雖然方便存取和管理 ,但也促使網路駭客 ,但也促使網路駭客 利用網際 網路盜取企業內部資料,造成嚴重外洩 網路盜取企業內部資料,造成嚴重外洩 網路盜取企業內部資料,造成嚴重外洩 。近幾年來,駭客為了隱藏自己的行蹤常 近幾年來,駭客為了隱藏自己的行蹤常 近幾年來,駭客為了隱藏自己的行蹤常 近幾年來,駭客為了隱藏自己的行蹤常 近幾年來,駭客為了隱藏自己的行蹤常 近幾年來,駭客為了隱藏自己的行蹤常 利用 HTTP協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 協定,透過惡意軟體入侵受害者使得企業資料外洩或是網站誘 使用者輸入個人或是機密資料等,而這些行為均會產生 使用者輸入個人或是機密資料等,而這些行為均會產生 使用者輸入個人或是機密資料等,而這些行為均會產生 HTTP流量,如何及早偵測該可 流量,如何及早偵測該可 流量,如何及早偵測該可 疑流量已成為 資訊安全領域上極為重要的問題。 本研究提出以 Support Vector Machine進行 HTTP流量偵測 的系統 。此的系統 。此的系統 。此利用 HTTP協定上的特徵建立一個可以有效偵測那些能是在進行惡意活動疑流量,並且 協定上的特徵建立一個可以有效偵測那些能是在進行惡意活動疑流量,並且 協定上的特徵建立一個可以有效偵測那些能是在進行惡意活動疑流量,並且 改善 一般在建立正常模型時需要大量主機資料的研究限制。和 一般在建立正常模型時需要大量主機資料的研究限制。和 一般在建立正常模型時需要大量主機資料的研究限制。和 其他研究不同之處在於我們 以 不同類型的 HTTP請求 封包 及 HTTP回應封包建立各自的異常偵測模型 ,再將類回應封包建立各自的異常偵測模型 ,再將類回應封包建立各自的異常偵測模型 ,再將類封 包重組回一個 HTTP流量, 流量, 最後 以一個完整的 HTTP流量 觀點,來辨認該流量是否惡意。 觀點,來辨認該流量是否惡意。 觀點,來辨認該流量是否惡意。 觀點,來辨認該流量是否惡意。 本研究的實驗證我們 提出的系統能夠僅用四名使者流量資料建立分類模型,並且偵 提出的系統能夠僅用四名使者流量資料建立分類模型,並且偵 提出的系統能夠僅用四名使者流量資料建立分類模型,並且偵 測來自惡意軟體的可疑流量,其偵率達到 88%。;In the era of Internet, the most enterprise data is stored within the enterprise hosts, and these hosts is bound directly or indirectly linked with the network. Although there are convenient access and management, it also promotes hackers to steal enterprise data by the use of Internet, resulting in serious leakage of information. In recent years, in order to hide the trace, hackers often use HTTP protocol as the channel of attacking and control victims with malicious software, causing leakage of corporate data or confidential information. Because these actions all generate HTTP traffic, how early detection of the suspicious traffic will be an important issue in the field of information security. This study proposes a HTTP traffic detection system which is based on Support Vector Machine and characterized by the use of the HTTP protocol establishment which may be carrying suspicious traffic. We lessen the restriction of the establishment of normal model. The restriction is that requiring a lot of traffic logs to be analyzed for the relationship establishment between hosts in the Internet. Unlike previous research literature about detecting malicious packets, this study proposes to establish the anomaly detection model by different type of the HTTP request packets, then reassemble packets to a complete HTTP traffic. The experiments in this study show that we can establish the HTTP traffic anomaly detection model, which detect suspicious traffic caused by malicious software with detection rate is 88%.