随着互联网逐步深入到人们的生活,网络安全问题也影响到社会生活的方方面面,其中以木马和僵尸网络所造成的危害最大。为了躲避网络边界的检测,这类恶意软件通常使用HTTP协议作为应用层协议,把自己的流量隐藏在大量HTTP背景流量当中。传统基于流量模式匹配的检测方法,在面对这类经过伪装的恶意流量时往往无能为力,研究者们开始转向使用机器学习的方法来实施恶意流量检测。而这些方法,往往针对单个HTTP请求数据流进行恶意性识别,识别效果不佳,存在较高的误报和漏报。本文通过对当前各种恶意外连流量检测方法进行深入研究,同时对恶意HTTP外连流量在数据流和负载两方面特征进行深入分析的基础上,提出一种面向客户端特征的HTTP恶意流量检测方法,并对该方法进行了模型实现和实验验证。首先根据浏览器指纹识别的原理,从数据流中提取HTTP头部字段内容实现对同一主机上不同客户端的识别,并对之赋予一个单独的ID。之后针对识别出来的各个客户端,首先从IP数据流和HTTP负载两方面对客户端基本信息进行统计,然后根据统计的数据分别从流量特征和负载特征两个角度,对客户端进行特征提取。最后利用随机森林算法,对提取出来的特征数据进行模型训练和测试。面向客户端特征的恶意HTTP外连流量检测模型,具有不依赖于恶意软件的组织结构,所需要的特征数少,训练时间短等优点。在实验阶段,通过对已知数据进行交叉验证,该模型的准确率和召回率均达到99%以上。在对未知僵尸网络流量的测试过程中,该模型的检测能力也较高。实验结果证明面向客户端特征的恶意HTTP外连流量检测方法,比单独使用流量特征或负载特征的检测方法具有更好的检测效果。