[发明专利]一种网络异常的检测定位方法及系统

说明书

本发明请求保护一种网络异常的检测定位方法及系统，涉及互联网安全，深度学习，神经网络领域。包括步骤：首先，将URL按照特殊字符对其进行划分；其次将划分后的URL使用word2vec进行词向量编码；然后，将词向量放至卷积层进行自动地特征处理；接着将卷积层结果与拥有序列注意力机制的注意力层相结合；最后将注意力层结果进行最大池化和全连接操作，得到最终的异常检测结果，同时注意力层的输出也用于对URL种的恶意代码进行定位。本发明具有极好的检测效果，不仅检测率高同时还可以定位URL中的恶意代码片段并可视化，有效的避免了人工特征工程和专家知识方法的弊端。

技术领域

本发明属于网络入侵检测、深度学习领域，涉及一种基于序列注意力卷积神经网络的网络异常的检测定位方法及系统。

背景技术

随着科技的迅猛发展，互联网给人们带来了各种各样的便捷服务，例如WordPress、GitHub、雅虎等等。它们为人们营造了更加优质的工作与生活环境，但是与此同时也给人们带来了一定的安全隐患。WordPress是目前世界上最流行的博客平台，市场占有率高达70％，拥有45000多个插件，其中WordPress SEO by Yoast插件使用率极高，在2015年该插件被曝出有高危的SQL注入漏洞，该漏洞导致了大量敏感信息的泄露。2016年，2.7亿的Gmail、YAHOO和Hotmail 账号遭到泄露，黑客将窃取得到的数据进行交易。2017年，GitHub企业版被曝出具有SQL注入漏洞，本次漏洞的产生是由文件中内置的对象关系映射造成的。

为了解决这些攻击造成的威胁，越来越多的学者在网络异常检测这一领域开展了科学研究。Su等人曾指出大多数的攻击是通过恶意的统一资源定位符 (Unified ResourceLocator，URL)所发出的请求造成的。Vishnu等人采用机器学习方法如贝叶斯、支持向量机等来预测跨站脚本攻击(XSS攻击)。Schuckert等人利用人工审核的方式对一些PHP源代码进行分类。然而，现存的这些方法在研究的过程中大多数是使用人工特征工程进行的，因此它们仍然有一些问题亟待解决。首先，人工选择特征和一些先验知识的方式是无法适应网络的迅猛发展和极速演变的。例如在MySQL 5.0之后的版本中，/*！50000select*/中的select 会被当作是一个关键字来被执行，而在MySQL 5.0以前的版本中，select是被当作注释而不被执行的。由此可见，如果人们使用的是针对5.0以前版本的防御措施，那么在5.0以后的版本中使用这些防御措施将有可能会导致漏报各种类型的攻击，这也就造成了漏报率的升高。其次，恶意代码通常是隐藏在攻击者发出的看似正常的请求中，但是现有的大多数基于机器学习的研究方法只能识别并判断出这些网络请求是否为异常，但却无法对异常请求中的恶意代码区域进行定位。例如下面URL中，/search.html？kw＝../../../../winnt/win.ini$％$00.htm它包含的“../”这一小部分是用于尝试访问敏感系统文件路径的。

一种基于序列注意力机制的卷积神经网络(Sequential Attention based CNN，SA-CNN)，它包括预处理、词嵌入层、卷积层、注意力层、池化层和全连接层。该发明可以帮助专家准确地检测出恶意URL，并定位URL中恶意代码区域。该发明能够有效地寻找到恶意代码区域，在卷积层与池化层中间引入一个新的层——注意力层。注意力层用来对单词的区分度进行编码，该发明在注意力层又增加了一个外部语言模型来对这些较小区域内的相邻单词进行建模分析。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种不仅可以对恶意的URL 检测，与此同时还可以对恶意代码区域进行定位的网络异常的检测定位方法及系统。本发明的技术方案如下：

一种网络异常的检测定位方法，其包括以下步骤：