[发明专利]一种基于多级联合网络的Web攻击检测方法及系统

说明书

本发明提出了一种基于多级联合网络的Web攻击检测方法及系统，属于Web攻击检测领域，提取若干条http攻击样本的payload特征词；对payload特征词和原始http请求数据分别进行数据预处理；再对预处理后的payload特征词进行分词处理和排序处理，构建异常http攻击载荷词汇表；将异常http攻击载荷词汇表与预处理后的原始http请求数据输入至Word2Vec模型中进行训练得到词向量；计算位置向量，将位置向量与词向量进行拼接得到输入向量；将输入向量输入至由注意力机制模型和卷积神经网络模型构成的多级联合网络模型中，输出检测结果，可提升Web攻击的分类精度。

技术领域

本发明涉及Web攻击检测领域，特别是涉及一种基于由注意力机制和卷积神经网络构成的多级联合网络的Web攻击检测方法及系统。

背景技术

目前，Web服务已经应用于我们网络生活的方方面面，大多数企业向公众提供开放的Web服务，因此很容易发生基于Web服务的网络攻击。恶意http请求是进行网络犯罪的主要手段之一，会在未经允许的情况下攻击不知情的用户，对用户造成经济损失和个人信息泄露，危及用户安全。因此，高效准确地检测识别出Web攻击流量中的恶意http请求是应对网络攻击的重要任务之一。

深度学习方法是一种Web攻击检测的主流方法，虽然深度学习方法用于Web攻击检测任务中已经有了很大进展，但是由于其数据的不规律性和实际中文本字段的多变性以及极为庞大的数据量的情况下，在实际的Web服务使用中还存在以下三个问题：

（1）采用单个字符或者数字字母与符号分开的词作为词汇表，而单个字符作为词汇表的缺点在于编码出来的序列长度较长，而且采用字符编码方式，无法包含语义信息，在进行向量化时也会因为词表太短而产生泛化精度不够的情况；而采取训练数据中数字字母与符号分开的词作为词汇表时，由于http请求文本的不规律性，词汇表通常过于庞大，而且对于文本中词的覆盖程度也不够高，因此模型预测的精度也不会特别高。

（2）传统的http请求数据的处理只涉及到url解码与规则替换的结合，但是对于面对实际应用环境下各种http的攻击请求数据来说，由于数据具有长度长短不一、语境复杂、各字段序列不明确、不同网站的噪声干扰多且杂等特点，仅通过url解码与规则替换的处理数据在编码后依然无法准确的取得序列的最好长度，也容易造成预测结果精度不高的问题。

（3）在以往的Web攻击检测任务中，对于正常http请求与异常http请求的二分类任务，往往只使用了单一的深度学习模型，而单一的深度学习模型往往将文本中提取出的每一个特征视为同等重要，但事实上对于http请求文本来说，由于其文本长度不一，词构成不规律，其中存在着大量不平衡的数据特征，这无疑大大制约了模型预测的精度；其次大多数工作只关注了对正常http请求与异常http请求的二分类任务，没有考虑异常http请求的多分类任务，对于实际问题，Web攻击的具体种类也应当能够识别，如果使用单一模型进行多分类会导致分类精度低的问题。

综上，目前的Web攻击检测方法普遍存在Web攻击分类精度低的问题。因此，目前亟需一种高精度的Web攻击检测方法。

发明内容

本发明的目的是提供一种基于多级联合网络的Web攻击检测方法及系统，利用基于注意力机制和卷积神经网络的多级联合网络模型对Web攻击进行检测以及多分类识别，可有效提升模型的分类精度，不仅可准确识别出当前http请求是正常http请求还是异常http请求，还可针对异常http请求进行更加细致的分类，确定Web攻击的具体类型。

为实现上述目的，本发明提供了如下方案：

一种基于多级联合网络的Web攻击检测方法，包括：

提取若干条http攻击样本，得到所述http攻击样本的payload特征词；

对所述payload特征词和原始http请求数据分别进行数据预处理，得到预处理后的payload特征词和预处理后的原始http请求数据；