[发明专利]一种攻击特征的处理方法及装置、电子设备、存储介质

说明书

本申请提供一种攻击特征的处理方法及装置、电子设备、存储介质。攻击特征的处理方法包括：获取有效攻击载荷数据；基于预设的至少两种解码方式，对所述有效攻击载荷数据进行至少两次解码，获得解码后的有效攻击载荷数据；对所述解码后的有效攻击载荷数据特征工程化处理，获得处理后的攻击特征。该处理方法用以实现有效特征工程化。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种攻击特征的处理方法及装置、电子设备、存储介质。

背景技术

随着互联网技术的发展，网络攻击也随之增多。入侵检测和防火墙是防御网络攻击的主要手段，其中，随着人工智能与机器学习的兴起，基于攻击样本数据集进行模型训练，使训练好的模型可以对未知的攻击进行检测。

但是，在现有的检测方法中，由于攻击样本稀少且变化多样，导致无法有效特征工程化。

发明内容

本申请实施例的目的在于提供一种攻击特征的处理方法及装置、电子设备、存储介质，用以实现有效特征工程化。

第一方面，本申请实施例提供一种攻击特征的处理方法，包括：获取有效攻击载荷数据；基于预设的至少两种解码方式，对所述有效攻击载荷数据进行至少两次解码，获得解码后的有效攻击载荷数据；对所述解码后的有效攻击载荷数据特征工程化处理，获得处理后的攻击特征。

在本申请实施例中，通过对现有技术研究发现，不能有效特征工程化的原因在于：攻击者为了对抗攻击检测手段，会对有效攻击载荷数据进行编码，使得有效攻击载荷数据无法有效特征工程化。基于此，通过预设的至少两种特征解码方式，对有效攻击载荷数据进行至少两次解码，解码后的有效攻击载荷数据更便于实现特征工程化，则，基于解码后的有效攻击载荷数据能够更有效的进行特征工程化处理，从而实现有效特征工程化。

作为一种可能的实现方式，所述获取有效攻击载荷数据，包括：获取原始攻击数据；对所述原始攻击数据进行URL(Uniform Resource Locator，统一资源定位系统)解码，获得所述有效攻击载荷数据。

在本申请实施例中，通过对原始的攻击数据进行url解码，实现有效攻击载荷数据的有效获取。

作为一种可能的实现方式，所述至少两种解码方式包括：字符大小写转换解码、HTML转义字符解码、Unicode字符解码、ChrCode字符解码、NCR字符解码以及加扰符号解码；其中，所述加扰符号包括：拼接符号、多空格符号、换行符号和注释符号。

在本申请实施例中，通过上述的至少两种解码方式对有效攻击载荷数据进行解码，获得更便于进行特征工程化处理的有效攻击载荷数据。

作为一种可能的实现方式，所述基于预设的至少两种解码方式，对所述有效攻击载荷数据进行至少两次解码，获得解码后的有效攻击载荷数据，包括：针对任意一次解码，依次采用所述至少两种解码方式中的各种解码方式对当前待解码的有效攻击载荷数据进行解码；所述当前待解码的有效攻击载荷数据为未经过解码的有效攻击载荷数据，或者至少经过一次解码的有效攻击载荷数据。

在本申请实施例中，通过各种解码方式对有效攻击载荷数据进行循环式的多次解码，保证解码的全面性，使解码后的有效攻击载荷数据能够有效特征工程化处理。

作为一种可能的实现方式，所述对所述解码后的有效攻击载荷数据特征工程化处理，获得处理后的攻击特征，包括：将所述解码后的有效攻击载荷数据中的URL和数字进行统一替换处理，获得替换处理后的有效攻击载荷数据；基于预设的自定义正则分词规则对所述替换处理后的有效攻击载荷数据进行分词处理，获得分词结果；基于所述分词结果确定所述处理后的攻击特征。

在本申请实施例中，通过统一替换处理、分词处理获得分词结果，进而基于分词结果实现有效的特征工程化处理。