21世纪以来,网络技术发展迅速,人们的生产、生活对于网络的依赖程度越来越高。随着互联网的普及,安全问题也接踵而至,黑客层出不穷的攻击手段严重威胁到了人们的上网安全和财产安全。传统的网络安全技术已经无法满足人们的需要,而入侵检测技术通过监视系统中的异常流量和可疑活动,主动保护网络和系统安全,它已经成为网络安全研究人员的主要研究方向。随着HTTP协议的大量使用,在HTTP请求数据中包含了大量的实际入侵,针对HTTP数据异常检测的研究也开始逐渐被研究人员所重视。本文通过对网络中常见攻击的仔细分析和相关攻击特征的总结,针对发生在HTTP数据中的三种主要攻击,提出了三种新的异常HTTP数据检测方案。论文的主要研究内容如下:(1)针对C&C攻击,提出了一种新的C&C(Command&Control Serve)流量检测方案。利用图像识别中的思想,将流量转换成图片,利用生成对抗网络识别异常流量图片和正常流量图片之间的区别,检测存在于HTTP请求中的C&C流量,保护主机安全。为了避免无用的HTTP流量数据使得转换得到的图像更复杂,我们提出了3点预处理规则,通过这些规则我们可以简化流量,删除冗余特征。(2)针对病毒攻击,提出了一种新的基于异常流量的失陷主机检测方案。通过判断主机请求流量中的URL中与病毒流量中的URL之间是否相似,来检测主机是否失陷。在方案中我们提出了一种新的基于Net2Vec思想的特征提取方法,通过该方法完成对URL数据的特征提取,利用双向长短期记忆网络训练检测模型完成检测。实验结果表明我们所提出的新的特征提取方法具有良好的效果,同时该方案相比其它检测方案具有一定的竞争力。(3)针对WEB入侵攻击,提出了一种新的异常流量检测方案。在该方案中,我们使用了有监督学习和无监督学习联合检测的方法。对HTTP请求流量数据的每个字段分别进行检测,同时将得到的异常检测结果存储,便于加强防火墙的防御能力。该方案具有持续学习能力,在持续运行的过程中,可以不断的发现新的异常。实验结果表明,该方案具有良好的检测能力,在精确率、准确率上都具有良好的竞争力。