[发明专利]一种基于多维特征网络的Web攻击检测方法

权利要求书

1.一种基于多维特征网络的Web攻击检测方法，其特征在于，包括：

S1：获取HTTP请求的数据，将所述数据进行分离得到HTTP文本数据和HTTP时间维度数据；

S2：根据所述HTTP文本数据得到HTTP文本内容数据；根据所述HTTP时间维度数据得到时间段内请求数据文档；

S3：对所述HTTP文本内容数据进行局部特征提取，得到文本局部特征；对所述HTTP文本内容数据进行全局特征提取，得到文本全局特征；根据所述文本局部特征和所述文本全局特征，得到文本维度特征表示；

采用特征融合方式将所述文本局部特征与所述文本全局特征进行融合，得到所述文本维度特征表示；计算公式为：

其中，表示文本维度特征表示；C表示文本局部特征；表示文本全局特征；

对所述时间段内请求数据文档进行特征提取，得到时间特征；将多种所述时间特征进行拼接，得到原始的时间维度特征表示；根据所述原始的时间维度特征表示，得到时间维度特征表示；

所述时间段内请求数据文档包括时间轴；所述时间特征包括访问次数特征、无效访问占比特征以及超时次数特征；

得到所述时间维度特征表示的过程为：

步骤1：设定间隔时间，并以当前时刻为基准；

在设定时间范围内，以所述间隔时间划定HTTP请求访问次数，得到访问次数特征；

在设定时间范围内，以所述间隔时间划定无效路由与可访问路由的占比，得到无效访问占比特征；

在设定时间范围内，统计HTTP请求超时的次数，得到超时次数特征；

步骤2：将所述访问次数特征、所述无效访问占比特征以及所述超时次数特征进行拼接，得到所述原始的时间维度特征表示；计算公式为：

其中，表示原始的时间维度特征表示，；表示访问次数特征；表示无效访问占比特征；表示超时次数特征；表示拼接运算符；表示实数集；k表示拼接后的维度；

步骤3：将所述原始的时间维度特征表示输入至第二全连接层，输出所述时间维度特征表示；计算公式为：

其中，表示时间维度特征表示；表示第二全连接层；表示原始的时间维度特征表示；第二全连接层的输入维度为k，第二全连接层的输出维度为n；

S4：根据所述文本维度特征表示和所述时间维度特征表示，得到攻击检测结果；所述攻击检测结果为与HTTP请求对应的攻击检测结果。

2.根据权利要求1所述的一种基于多维特征网络的Web攻击检测方法，其特征在于，S1中，所述数据包括请求数据和请求文本；所述请求文本即为HTTP文本数据；所述请求数据包括请求触发的时间；以当前的所述请求触发的时间为基点，提取设定时间范围内的所述请求数据作为HTTP时间维度数据。

3.根据权利要求2所述的一种基于多维特征网络的Web攻击检测方法，其特征在于，S2中，得到所述HTTP文本内容数据和所述时间段内请求数据文档的过程为：

对所述HTTP文本数据进行URL解码处理，对解码处理后的所述HTTP文本数据进行规则替换，得到所述HTTP文本内容数据；

对所述HTTP时间维度数据进行URL数据筛选，将所述HTTP时间维度数据与当前的HTTP请求进行匹配，得到当前的HTTP请求在设定时间范围内的所有HTTP时间维度数据的文档，该文档即为所述时间段请求数据文档。