[发明专利]构建识别模型及攻击识别方法、装置、设备及存储介质

说明书

本申请涉及一种构建识别模型及攻击识别方法、装置、设备及存储介质。方法包括：获取结构化查询语言注入攻击的训练样本集合；根据结构化查询语言的词库，对所述训练样本集合中每条样本进行分词处理，获得所述每条样本各自的分词后样本，并转换得到每条所述分词后样本各自的表示向量；获取每条所述分词后样本各自对应的第一词嵌入向量；获取所述词库中每个词条各自对应的第二词嵌入向量；基于所述每条样本各自的所述表示向量和所述第一词嵌入向量，以及所述词库中每个词条各自的第二词嵌入向量，对预设的神经网络模型进行训练，得到所述结构化查询语言注入攻击的识别模型。本申请用以有效识别SQLI攻击，降低误报或漏报。

技术领域

本申请涉及网络技术领域，尤其涉及一种构建识别模型及攻击识别方法、装置、设备及存储介质。

背景技术

网页(Web)应用防火墙(简称WAF)作为目前市场上热门的安全产品，可以有效阻拦场景的结构化查询语言注入攻击(简称SQLI，英文全称Structured Query LanguageInjection；结构化查询语言，简称SQL，英文全称Structured Query Language)，达到保护Web应用的目的。

目前，市场上大部分的WAF是基于规则匹配进行防护的，也有部分采用人工智能(AI)+规则相结合的方式进行防护。随着Web服务变得越来越复杂，相应的攻击方式也变得复杂起来，为了应对这一情况，WAF需要变得更加智能化。

AI赋能WAF已经成为目前WAF产品迭代的一个大趋势，越来越多的机器学习和深度学习模型被应用进WAF中，并且已经展现出了较好的效果。WAF中使用AI识别SQLI的方法，也在随着时间的推移和技术的更新不断变化，每种方法都会在生产环境中出现或大或小的问题，目前业内还没有统一的方法，各厂家也都在更新自身的技术水平。

已有的WAF识别SQLI的方法除了通用规则之外，较为智能化的方法就是采用开源的SQLI语义分析库，对请求报文进行语义分析后，通过二分查找算法对内置的8000多个SQLI特征进行匹配，直到将该报文识别为攻击，或者遍历所有的SQLI特征。

该方法存在的不足在于：在语料不够强大的情况下或者没有及时更新生产环境语料的情况下，会存在误报或漏报。

发明内容

本申请提供了一种构建识别模型及攻击识别方法、装置、设备及存储介质，用以有效识别SQLI攻击，降低误报或漏报。

第一方面，本申请实施例提供了一种构建识别模型的方法，包括：

获取结构化查询语言注入攻击的训练样本集合；

根据结构化查询语言的词库，对所述训练样本集合中每条样本进行分词处理，获得所述每条样本各自的分词后样本，并转换得到每条所述分词后样本各自的表示向量；

获取每条所述分词后样本各自对应的第一词嵌入向量；

获取所述词库中每个词条各自对应的第二词嵌入向量；

基于所述每条样本各自的所述表示向量和所述第一词嵌入向量，以及所述词库中每个词条各自的第二词嵌入向量，对预设的神经网络模型进行训练，得到所述结构化查询语言注入攻击的识别模型。

可选地，所述获取结构化查询语言注入攻击的训练样本集合，包括：

获取结构化查询语言注入攻击的原始训练样本集合；

对所述原始训练样本集合进行预处理，以得到所述训练样本集合；

其中，所述预处理包括：

去除所述原始训练样本集合的干扰数据；和/或

将所述原始训练样本集合中结构化查询语言的编码数据，解码为结构化查询语言的原始数据。