近年来，随着Web服务的高速发展，HTTP流量增长迅速。如今HTTP协议已占据了互联网络流量中很大的一部分。由于HTIP协议灵活，流行度高，越来越多的网络恶意服务开始利用HTTP进行通信和传播，将自身的传播和控制行为隐藏在大量的HTTP流量的背景噪声中，给网络安全带来了极大隐患。　　传统基于规则的防火墙(Firewall)和入侵检测系统IDS(Intrusion Detection Systems)需要不断更新规则库来检测新型的恶意攻击，而攻击者只需要对载荷特征进行少量修改便可绕过检测系统。为了弥补基于规则匹配的方法对未知恶意服务检测能力不足，本文提出了一种基于网络行为测量的恶意服务发现方法，通过对HTTP流量的行为进行统计和分析，发现了恶意服务利用载荷声明不一致进行传播的现象，设计并实现了高速网络环境下的恶意服务发现原型系统。　　本文的主要工作包括以下几个方面:　　(1) HTTP载荷一致性测量工作:本文对真实网络中的流量样本进行了采集，重组并保存了HTTP流量中完整的载荷样本，记录下了其载荷类型，Content-Type字段等12种HTTP元信息。实验检测出1553种载荷声明不一致现象，发现了利用该方法传播的恶意服务，为恶意样本特征提取与统计实验提供了依据。　　(2)高速网络环境下恶意样本筛选模型:本文利用多个反病毒引擎保存的HTTP样本进行了扫描，检测出了其中存在的上千种恶意样本，统计了其端口分布，活动时间，类型伪装等特点，提出了恶意样本筛选模型。该方法有效地缩小了可疑样本候选范围，使得在高速网络环境下对样本的保存和追踪成为可能。　　(3)恶意服务发现原型系统实现:综合前文的研究，本文设计并实现了恶意服务发现系统。该系统能够在高速网络环境下实时筛选可疑HTTP流量，保存其元信息及完整载荷样本，充分利用反病毒引擎启发式扫描优势，发现和追踪恶意服务。　　经测试，本系统能长期稳定运行在高速网络环境中，每日对超过12亿条HTTP会话进行检测筛选，有效的帮助用户发现传统防火墙和IDS无法检测到的恶意服务活动。