WebSocket عبر HTTPS هو وسيلة لإبقاء جلسة WebSocket داخل اتصال HTTPS. يبدأ العميل والخادم بحركة مرور ويب مشفرة عادية، ثم يحافظان على قناة ثنائية الاتجاه طويلة الأمد لإرسال الرسائل في الوقت الفعلي. وبما أن الجلسة مشفرة وتستخدم منافذ وأنماط ويب شائعة، فقد تبدو مشابهة لحركة مرور المتصفح أو التطبيق العادية.
في الهجمات السيبرانية، تستخدم البرمجيات الخبيثة وأدوات المشغلين هذه القناة للأوامر والتحكم، أو سرقة البيانات، أو تكليف مضيف بمهام من دون فتح منفذ مخصص مزعج. وهذا يجعل التصفية أكثر صعوبة بالنسبة لأجهزة المحيط التي تفحص أساسا الوجهة أو المنفذ أو السمعة الأساسية. وغالبا ما يحتاج المدافعون إلى قياسات طرفية، وفحص TLS حيثما كان مسموحا، وسجلات الوكيل، وسجلات التدقيق الخاصة بالتطبيق لاكتشاف سلوك WebSocket غير المعتاد مثل الجلسات طويلة الأمد، أو الوجهات غير المتوقعة، أو الرسائل الصغيرة المشفرة المتكررة. وعند استخدامه على نحو صحيح، تكون الآلية نفسها أيضا جزءا عاديا من كثير من تطبيقات الويب المشروعة، ولهذا فإن الاكتشاف القائم على السلوك مهم.



