在企业网络管理和网络安全实践中,通常出于安全考虑和网络管控考虑,会使用防火墙限制一些和企业经营无关的数据流量,一方面用于保障正常网络业务带宽的合理使用,另一方面可以限制可能的网络攻击流量。在这样的网络环境中,由企业内部人员或间谍软件构成的内部威胁,为了进行外部远控服务器之间的通信,通常采用基于HTTP的隧道技术或基于数据流量伪装的HTTP混淆技术,来实现远控交互的通联或大批量窃取数据的传输。在企业网出口处检测分析可疑的HTTP流量是当前网络安全领域重要的研究课题之一。本文针对HTTP混淆流量检测,以及HTTP混淆通道中的应用识别问题开展研究,论文开展的主要工作如下:(1)针对当前主流检测方案对不同网络环境的适应能力较差的缺点,提出了一种基于可疑度的HTTP混淆流量检测方法,该方法结合协议头部信息分析与负载类型匹配机制来实现流量检测,不需要依赖网络流量的指纹特征,具有更好的适应能力。(2)鉴于流量细节行为信息能更为有效帮助网络管理者了解网络安全态势,提出了一种基于决策树的HTTP混淆通道承载应用识别方法,该方法利用流量特征有效识别混淆流量所承载的典型网络应用行为。(3)开发实现了HTTP混淆流量检测与承载应用识别试验系统,对所提相关方法进行了验证,对小规模网络上的系统性能进行了测试,实验结果表明系统具有很高的准确率与良好泛化能力。论文最后对全文进行了总结,对未来值得研究的问题进行了展望。