[发明专利]一种基于多维特征网络的Web攻击检测方法

说明书

本发明公开了一种基于多维特征网络的Web攻击检测方法，对HTTP请求进行文本和时间上的分离与处理，得到HTTP文本内容数据和时间段内请求数据文档；并对HTTP文本内容数据和时间段内请求数据文档分别进行文本维度和时间维度的特征提取；在文本维度上根据局部特征和全局特征得到文本维度特征表示，弥补了卷积网络全局特征提取的弱势方面；在时间维度上对时间段内请求数据文档进行特征提取，进而得到时间维度特征表示，扩大了应用范围与尺度，提到了攻击检测的广度和深度；最后，根据文本维度特征表示和时间维度特征表示，得到攻击检测结果，进一步提高了检测的精度。

技术领域

本发明涉及Web攻击检测技术领域，具体涉及一种基于多维特征网络的Web攻击检测方法。

背景技术

目前现有的Web攻击检测技术主要是基于卷积网络或者注意力机制的深度学习方法等等。它往往是根据HTTP文本做简单序列化对HTTP文本进行表示，并在此基础上采用传统的模型（如卷积网络）对其进行分类，由于传统方法未考虑HTTP请求的时间效应，这种方式不能检测如URL集中爆破，爬虫的访问，慢速请求，攻击探测等攻击，而在Web攻击检测任务中，这种攻击类型的检测也是影响模型精度的关键，因此，使用时间维度特征融合文本维度特征来设计模型检测这类对时间效应敏感的攻击更为准确。

目前将时间维度特征用于Web攻击检测任务上的实践不多，这主要是因为时间维度特征的提取需要根据经验人为定义，在实际的Web服务使用多维度网络融合还存在以下三个问题：

（1）传统的HTTP请求文本数据的特征提取一般基于卷积网络或者注意力机制的深度学习方法等，通过深度学习模型的训练自动提取依赖的局部特征。然而，仅使用这种方式虽然对局部特征的提取非常完整，但是对于文本全局特征的提取较少，例如异常字段出现的次数，User-Agent字段中的请求环境，以及Cookie中携带信息等内容特征等HTTP文本的全局特征等，影响HTTP请求文本数据特征的完整性，进而影响模型精度。

（2）以往web攻击检测方法很少有考虑在时间维度进行特征的提取，只专注于HTTP请求文本数据的特征提取，这种方法虽然也能识别到一些简单的攻击，例如SQL注入，XSS攻击等，但是这类方法没有时间概念，对于有些攻击在内容形式上与正常请求无异，但是在时间上的异常行为导致的攻击无法识别，例如URL集中爆破，爬虫的访问，慢速请求，攻击探测等攻击，因此，可以说模型在时间维度上的检测几乎为零，影响模型检测的广度和深度。

（3）以往多维度的融合方式主要有两种，特征级融合和决策级融合。然而，由于Web攻击检测的特殊性以及多个特征之间的耦合性，这两种方式都不符合我们的要求，采用特征级融合会影响文本维度特征和时间维度特征的权重，因为在检测时这两种特征的重要性肯定是不同的，而采用决策级融合的方式时，两个分类器对两种特征做分类是不准确的，文本维度特征和时间维度特征结合的数据是否为攻击是已经标记好的，单一特征进行分类无法保证数据的正确性。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中的缺陷，从而提供一种基于多维特征网络的Web攻击检测方法。

本发明提供了一种基于多维特征网络的Web攻击检测方法，包括：

S1：获取HTTP请求的数据，将数据进行分离得到HTTP文本数据和HTTP时间维度数据；

S2：根据HTTP文本数据得到HTTP文本内容数据；根据HTTP时间维度数据得到时间段内请求数据文档；

S3：对HTTP文本内容数据进行局部特征提取，得到文本局部特征；对HTTP文本内容数据进行全局特征提取，得到文本全局特征；根据文本局部特征和文本全局特征，得到文本维度特征表示；

对时间段内请求数据文档进行特征提取，得到时间特征；将多种时间特征进行拼接，得到原始的时间维度特征表示；根据原始的时间维度特征表示，得到时间维度特征表示；