[发明专利]网络恶意攻击的检测方法和装置

说明书

本发明公开了一种网络恶意攻击的检测方法和装置，涉及人工智能技术领域。该方法的一具体实施方式包括：采集正常业务web服务请求数据及含有网络恶意攻击代码的web服务请求数据作为样本数据；对每条样本数据，进行特征提取并构建无向特征图，根据样本数据是否含有恶意攻击代码对样本数据对应的无向特征图进行打标；将打标后的无向特征图作为训练数据，采用图神经网络算法对训练数据进行训练以构建检测模型；使用检测模型进行网络恶意攻击检测。该实施方式能够提高对网络恶意攻击webshell的检测效率及准确率，可以在误报较低的情况下完成对网络恶意攻击webshell的检测。

技术领域

本发明涉及人工智能技术领域，尤其涉及一种网络恶意攻击的检测方法和装置。

背景技术

随着互联网的飞速普及，进入了信息化时代，互联网技术应用在各个领域，如政务、医疗、电子银行、电子商务、工业等等。越来越多的业务通过互联网实现交互，如果出现黑客采取恶意攻击网站盗取信息传播病毒等，将会对用户的信息安全或者政府及企业的利益造成损害，具有非常严重的安全风险。因此对Webshell等网络恶意攻击的脚本检测是保证互联网应用安全的重要手段之一。Webshell是使用asp、aspx、jsp、php等编程语言编写的木马后门。

目前，web恶意攻击检测的主要手段是通过黑白名单的检测机制，如web应用防火墙、IDS(入侵检测系统)等，基于字符匹配特征或者哈希值匹配判定是否为网络恶意攻击。一般情况能够防御绝大部分的网络恶意攻击，但是实际使用中规则库需要人工维护来实现对新发现的恶意样本的特征和哈希进行检测。上述技术方式存在人工维护繁琐，效率低，成本高，而且随着规则库的升级，规则会变得臃肿，严重影响检测效率和正常业务需求。同时webshell等网络恶意攻击在通过编码混淆加密后很容易绕过规则库。

综上，在实现本发明过程中，发明人发现传统的webshell等网络恶意攻击的检测方式存在规则库维护繁琐，泛化性差等问题。因此，如何高效且准确地发现webshell等网络恶意攻击脚本是当下亟待解决的问题。

发明内容

有鉴于此，本发明实施例提供一种网络恶意攻击的检测方法和装置，能够提高对网络恶意攻击webshell的检测效率及准确率，可以在误报较低的情况下完成对网络恶意攻击webshell的检测。

为实现上述目的，根据本发明实施例的一个方面，提供了一种网络恶意攻击的检测方法。

一种网络恶意攻击的检测方法，包括：

采集正常业务web服务请求数据及含有网络恶意攻击代码的web服务请求数据作为样本数据；

对每条样本数据，进行特征提取并构建无向特征图，根据所述样本数据是否含有恶意攻击代码对所述样本数据对应的无向特征图进行打标；

将打标后的无向特征图作为训练数据，采用图神经网络算法对所述训练数据进行训练以构建检测模型；

使用所述检测模型进行网络恶意攻击检测。

可选地，进行特征提取并构建无向特征图包括：

对所述样本数据进行分词并获取分词后得到的每个单词的词向量以进行特征提取；

根据所述每个单词的词向量构建无向特征图。

可选地，对所述样本数据进行分词之前，还包括：

根据所述网络恶意攻击代码的脚本类型对所述样本数据进行分类，得到所述样本数据的类别标签。

可选地，对所述样本数据进行分词包括：

基于N-gram语言模型算法对所述样本数据进行分词。

可选地，基于N-gram语言模型算法对所述样本数据进行分词包括：