[发明专利]基于HTTP请求有效负载的漏洞攻击流量检测方法和系统

权利要求书

1.一种基于HTTP请求有效负载的漏洞攻击流量检测方法，其特征在于，包括以下步骤：

从HTTP请求中提取有效负载；

对提取的有效负载进行向量化处理；

利用向量化处理后的有效负载训练深度学习分类器，所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类；

利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量；

所述从HTTP请求中提取有效负载，包括：

对于URI_Path部分采用分隔符进行拆分，将目录和目录中的文件前缀后缀进行分割，根据URI_Query中的分隔符对URI_Query字段进行分割，经过分割过后的URL被拆分为一个由单词和短字符串组成的单词列表，其中短字符串统称为单词；

对于HTTP请求的头部字段中的复杂字段，根据分隔符进行分割，形成单词列表，并根据HTTP各个头部字段出现的原始顺序附加在URL之后，组成完整的HTTP请求有效负载；

所述从HTTP请求中提取有效负载的过程中，忽略URL的Host部分。

2.根据权利要求1所述的方法，其特征在于，所述对提取的有效负载进行向量化处理，包括：

选择word2vec中的CBOW模型用于词向量的生成，将所有收集到的正常白应用流量和关口流量中所有的HTTP的有效负载都作为语料库的输入，构建出一个HTTP协议语料库，并训练出词向量模型；每个单词根据查询语料库的方式得到其具体的词向量，并组合成为整个有效负载的高维向量。

3.根据权利要求1所述的方法，其特征在于，所述深度学习分类器为双向长短记忆神经网络。

4.根据权利要求1所述的方法，其特征在于，在向所述深度学习分类器输入HTTP请求的有效负载数据时，连带将该HTTP请求的会话号一起发送，经过深度学习分类器判别后，若为可疑漏洞攻击流量，则利用传递的会话号查询会话的具体信息，并产生告警。

5.一种采用权利要求1～4中任一权利要求所述方法的基于HTTP请求有效负载的漏洞攻击流量检测系统，其特征在于，包括：

预处理模块，用于从HTTP请求中提取有效负载，并对提取的有效负载进行向量化处理；

分类器训练模块，用于利用向量化处理后的有效负载训练深度学习分类器，所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类；

检测模块，用于利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。

6.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～4中任一权利要求所述方法的指令。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～4中任一权利要求所述的方法。