CN108156130A

CN108156130A - 网络攻击检测方法和装置

Info

Publication number: CN108156130A
Application number: CN201710186629.3A
Authority: CN
Inventors: 夏玉明
Original assignee: Information and Data Security Solutions Co Ltd
Current assignee: Information and Data Security Solutions Co Ltd
Priority date: 2017-03-27
Filing date: 2017-03-27
Publication date: 2018-06-12
Anticipated expiration: 2037-03-27
Also published as: CN108156130B

Abstract

本申请提供了一种网络攻击检测方法和装置，属于计算机信息安全技术领域。所述方法包括：生成与网络请求对应的检测图片；将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。本申请生成与网络请求对应的检测图片；将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果，实现了基于图片本身特征确定图片是否为网络攻击，进而确定图片对应的网络请求是否为网络攻击，避免了现有技术中由于正常模型不能穷举造成的检测准确性以及检测全面性不佳的问题。

Description

网络攻击检测方法和装置

技术领域

本申请涉及计算机信息安全技术领域，尤其涉及网络攻击检测方法和装置。

背景技术

保证信息系统安全的经典手段是“存取控制”或“访问控制”，但无论在理论上还是在实践中，这种手段都不能彻底填补一个系统的安全漏洞，也没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。网络攻击检测技术就像治安巡逻队，专门注重于发现形迹可疑者。

目前常用的一种网络攻击检测方法为：根据正常请求制作检测对象的正常模型，将新请求与正常模型进行比对，根据比对结果确定该新请求是否为网络攻击。

例如，若正常请求和攻击请求如图1所示，若检测对象为参数标识id，则将参数id的每个值看作一个序列Sequence，值中的每个字符为该序列中的一个状态State。则对于一个Sequence，如图1中的123或者124或者125，其背后所表达的安全上的解释都是「数字数字数字」，若用「N」来表示「数字」，这样就得到了对应的隐含序列，即正常模型，如图2所示。当新请求的id表达与正常模型不同时，确认新请求为网络攻击，如图3所示。

上述方法的检测准确性、检测全面性均与正常模型息息相关，然而，正常模型并不能穷举正常请求的所有形式，因此上述方法的检测准确性以及检测全面性不佳。

发明内容

为解决上述问题，本申请实施例提出了一种攻击检测方法和装置。

一方面，本申请实施例提供了一种网络攻击检测方法，所述方法包括：

生成与网络请求对应的检测图片；

将所述检测图片输入多层卷积神经网络模型，得到所述检测图片的网络攻击检测结果；

将所述检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。

可选地，所述生成与网络请求对应的检测图片，包括：

从网络流量日志中获取各网络请求的日志文本；

对于任一网络请求的日志文本，生成包括所述任一网络请求的日志文本中的检测对象的图片，将该图片作为与所述任一网络请求对应的检测图片。

可选地，所述对于任一网络请求的日志文本，生成包括所述任一网络请求的日志文本中的检测对象的图片，包括：

将所述任一网络请求的日志文本的字体修改为预设字体，且，将所述任一网络请求的日志文本的字号修改为10号，所述预设字体的文字和符号像素占比相同；

生成包括修改后日志文本中的检测对象的正方形灰度图片。

可选地，所述正方形图片的像素为28*28。

可选地，所述检测对象为如下的一个或多个：页面状态请求码，统一资源标识符，参数，超文本传输协议请求方式。

可选地，所述多层卷积神经网络模型包括6层网络；

所述6层网络依次为第一卷积层，第一池化层，第二卷积层，第二池化层，连接层和输出层；

所述第一卷积层依次进行第一卷积滤波处理和第一Relu激活函数处理，其中，进行第一卷积滤波处理的滤波器包括32个第一卷积核，各第一卷积核的大小均为5*5，且各第一卷积核均配有一个第一层偏置参数，不同第一卷积核的第一偏执参数可以相同也可以不同；

所述第一池化层进行max-pooling处理；

所述第二卷积层依次进行第二卷积滤波处理和第二Relu激活函数处理，其中，进行第二卷积滤波处理的滤波器包括64个第二卷积核，各第二卷积核的大小均为5*5，且各第二卷积核均配有一个第二层偏置参数，不同第二卷积核的第二偏执参数可以相同也可以不同；

所述第二池化层进行max-pooling处理；

所述连接层依次进行reshape处理和第三Relu激活函数处理，且所述连接层包括512个连接层偏置；

所述输出层依次进行dropout处理，第四Relu激活函数处理和softmax函数处理，且所述输出层包括2个输出层偏置。

可选地，将所述检测图片输入多层卷积神经网络模型，得到所述检测图片的网络攻击检测结果之后，还包括：

获取所述所述检测图片的标准检测结果；

确定所述网络攻击检测结果与所述标准检测结果之间的差值；

基于所述差值，通过随机梯度下降方法调整所述多层卷积神经网络模型中各层网络中的参数。

另一方面，本申请实施例提供了一种网络攻击检测装置，所述装置包括：

生成模块，用于生成与网络请求对应的检测图片；

检测模块，用于将所述生成模块生成的检测图片输入多层卷积神经网络模型，得到所述检测图片的网络攻击检测结果；

确定模块，用于将所述检测模块得到的检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。

可选地，所述生成模块，用于从网络流量日志中获取各网络请求的日志文本；对于任一网络请求的日志文本，将所述任一网络请求的日志文本的字体修改为预设字体，且，将所述任一网络请求的日志文本的字号修改为10号，所述预设字体的文字和符号像素占比相同；生成包括修改后日志文本中的检测对象的正方形灰度图片，将该图片作为与所述任一网络请求对应的检测图片；

其中，所述正方形图片的像素为28*28；

其中，所述检测对象为如下的一个或多个：页面状态请求码，统一资源标识符，参数，超文本传输协议请求方式。

可选地，所述多层卷积神经网络模型包括6层网络；

所述第一池化层进行max-pooling处理；

所述第二池化层进行max-pooling处理；

所述输出层依次进行dropout处理，第四Relu激活函数处理和softmax函数处理，且所述输出层包括2个输出层偏置；

所述装置，还包括：

学习模块，用于获取所述所述检测图片的标准检测结果；确定所述网络攻击检测结果与所述标准检测结果之间的差值；基于所述差值，通过随机梯度下降方法调整所述多层卷积神经网络模型中各层网络中的参数。

有益效果如下：

生成与网络请求对应的检测图片；将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果，实现了基于图片本身特征确定图片是否为网络攻击，进而确定图片对应的网络请求是否为网络攻击，避免了现有技术中由于正常模型不能穷举造成的检测准确性以及检测全面性不佳的问题。

附图说明

下面将参照附图描述本申请的具体实施例，其中：

图1示出了本申请一实施例提供的一种正常请求和攻击请求示意图；

图2示出了本申请另一实施例提供的一种正常模型示意图；

图3示出了本申请另一实施例提供的一种确认请求是否为网络攻击示的意图；

图4示出了本申请另一实施例提供的一种网络攻击检测方法的流程示意图；

图5示出了本申请另一实施例提供的另一种网络攻击检测方法的流程示意图；

图6示出了本申请另一实施例提供的一种网络攻击检测装置的结构示意图；

图7示出了本申请另一实施例提供的另一种网络攻击检测装置的结构示意图。

具体实施方式

为了使本申请的技术方案及优点更加清楚明白，以下结合附图对本申请的示例性实施例进行进一步详细的说明，显然，所描述的实施例仅是本申请的一部分实施例，而不是所有实施例的穷举。并且在不冲突的情况下，本说明中的实施例及实施例中的特征可以互相结合。

目前常用的一种网络攻击检测方法为：根据正常请求制作检测对象的正常模型，将新请求与正常模型进行比对，根据比对结果确定该新请求是否为网络攻击。上述方法的检测准确性、检测全面性均与正常模型息息相关，然而，正常模型并不能穷举正常请求的所有形式，因此上述方法的检测准确性以及检测全面性不佳。本申请提出了一种网络攻击检测方法和装置，其中，本申请提供的方法可以通过生成与网络请求对应的检测图片；将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果，实现了基于图片本身特征确定图片是否为网络攻击，进而确定图片对应的网络请求是否为网络攻击，避免了现有技术中由于正常模型不能穷举造成的检测准确性以及检测全面性不佳的问题。

结合上述实施环境，参见图4所示的实施例，本实施例提供了一种网络攻击检测方法，本实施例提供的方法流程具体如下：

401，训练多层卷积神经网络模型。

本步骤在具体实施时，可以通过如下子步骤实现。

步骤1.1，形成初始多层卷积神经网络模型。

多层卷积神经网络是一个多层的人工神经网络，网络的每一层由多个二维平面组成，每一个二维平面都有多个独立的神经元构成。

其中，神经元分为简单元(又称Simple元，或者，S元)和复杂元(又称Complex元，或者，C元)。由S元聚合的面为S面，S面聚合的层为S层，由C元聚合的面为C面，C面聚合的层为C层。

S层是特征提取层，网络的每个计算层由多个特征映射组成，每个特征映射为一个平面，平面上所有神经元的权值相等。特征映射结构采用激活函数，以保证特征映射具有位移不变性。

C层为特征提取层，每个神经元的输入与前一层的局部感受野相连，并提取该局部的特征，一旦该局部特征被提取后，它与其他特征间的位置关系也随之确定下来。

另外，多层卷积神经网络的深度越深，多层卷积神经网络模型的预测效果越好，但是消耗的资源也就越多，计算时间同样会越长。

考虑到本实施例提供的网络攻击检测方法的执行效率及所耗资源的平衡，本实施例提供的方法采用如下结构的多层卷积神经网络模型：

多层卷积神经网络模型包括6层网络，依次为第一卷积层，第一池化层，第二卷积层，第二池化层，连接层和输出层。

1)第一卷积层依次进行第一卷积滤波处理和第一Relu激活函数处理，其中，进行第一卷积滤波处理的滤波器包括32个第一卷积核，各第一卷积核的大小均为5*5，且各第一卷积核均配有一个第一层偏置参数，不同第一卷积核的第一偏执参数可以相同也可以不同。

2)第一池化层进行max-pooling处理。

3)第二卷积层依次进行第二卷积滤波处理和第二Relu激活函数处理，其中，进行第二卷积滤波处理的滤波器包括64个第二卷积核，各第二卷积核的大小均为5*5，且各第二卷积核均配有一个第二层偏置参数，不同第二卷积核的第二偏执参数可以相同也可以不同。

4)第二池化层进行max-pooling处理。

5)连接层依次进行reshape处理和第三Relu激活函数处理，且连接层包括512个连接层偏置。

6)输出层依次进行dropout处理，第四Relu激活函数处理和softmax函数处理，且输出层包括2个输出层偏置。

步骤1.2，对初始多层卷积神经网络模型进行训练，形成最终多层卷积神经网络模型。

训练方式如下：

步骤1.1.1，选取训练样本。

其中，训练样本为正常流量日志组成的图片与攻击流量日志组成的图片，且，正常流量日志组成的图片与攻击流量日志组成的图片的比例为1:1。

另外，正常流量日志组成的图片为像素为28*28的正方形灰度图片，攻击流量日志组成的图片为像素为28*28的正方形灰度图片。

步骤1.1.2，对每一张图片打上是否为网络攻击的标签。

步骤1.1.3，将打上标签的训练样本逐一输入步骤1.1形成的初始多层卷积神经网络模型，进行训练。

具体的，

步骤1.1.3.1，样本数据流入第一卷积层。

在第一卷积层中，样本数据依次经过第一卷积滤波处理和第一Relu激活函数处理，最后生成并输出32张28×28的卷积特征图像。

步骤1.1.3.2，第一卷积层的输出流入第一池化层。

在第一池化层中，对第一卷积层输出的每张特征图中的每2×2的像素区域进行max-pooling处理，(即选取4个像素点的最大值)，最后生成并输出32张14×14特征映射。

步骤1.1.3.3，第一池化层的输出流入第二卷积层。

在第二卷积层中，对第一池化层输入的32张14×14特征图像先进行第二卷积滤波处理，再进行Relu激活函数处理，最后生成并输出64张14×14特征图像。

步骤1.1.3.4，第二卷积层的输出流入第二池化层。

在第二池化层中，分别对第二卷积层输出的64张14×14特征图像进行max-pooling处理，生成并输出64张7×7的特征映射。

步骤1.1.3.5，第二池化层的输出流入连接层。

在连接层，对第二池化层的输出进行全连接，即先将第二池化层输出的64张7×7的特征图像做reshape处理(即将所有像素点转化成一维数据)，然后通过矩阵相乘，加上连接层偏置，并通过Relu激活函数处理，最后形成并输出节点数为512的隐含节点。

步骤1.1.3.6，流入连接层的输出流入输出层。

在输出层中，为了减轻过拟合，先会对流入连接层的输出数据进行dropout处理，然后通过矩阵相乘，同样的加上输出层偏置，并通过Relu激活函数处理，最后通过softmax函数得到输出向量。

例如，设置[1,0]代表非网络攻击，[0,1]代表网络攻击，则如果输出向量为[0.8,0.2]，则认为该训练样本为非网络攻击。如果输出向量为[0.3,0.7]，则认为该训练样本为网络攻击。

一个训练样本通过上述步骤1.1.3.1至步骤1.1.3.6，会得到该训练样本的检测结果。

为了更详细的说明步骤1.1.3.1至步骤1.1.3.6的执行过程，下面再次进行说明。

在第一卷积层，输入数据通过和32个可训练的滤波器和偏置进行卷积，卷积后通过一个Relu激活函数后在第一卷积层产生32个特征图像；然后特征映射图中每组的数据再经过max-pooling(局部取最大)得到32个第一池化层的特征映射。这些映射图再经过如第一卷积层的处理得到第二卷积层的64个特征图像，同样通过最大池化处理得到第二池化层的64个特征映射。然后将这个64个特征映射图像的像素点全链接，加连接层偏置，通过一个Relu激活函数，流入输出层。在输出层，为了减轻过拟合，采用dropout的方式处理数据，并加输出层偏置，通过Relu激活函数后，用softmax函数对预测结果做输出。

在多层卷积神经网络模型中，第一卷积层和第二卷积层是由卷积层神经元组成的网络层，第一池化层和第二池化层是由次抽样层神经元组成的网络层。其中在卷积层，可由前一层的特征与一个可学习的核进行卷积，卷积的结果经过激活函数后的输出形成这一层的特征。每一个输出的特征可能与前一层的几个特征的卷积建立关系。

在通过上述步骤1.1.3.1至步骤1.1.3.6得到一个训练样本的检测结果后，还会进行步骤1.1.3.7，以进行自动学习。

步骤1.1.3.7，获取训练样本的理想检测值，根据理想检测值调整初始多层卷积神经网络模型中各层中的参数。

具体的，确定步骤1.1.3.6得到的该训练样本的检测结果与理想检测值之间的差值；基于差值，通过随机梯度下降方法调整多层卷积神经网络模型中各层网络中的参数。

其中，参数包括但不限于Relu激活函数中的参数、卷积滤波处理中的参数等，只要多层卷积神经网络模型中使用的参数，均可调整。

执行至此，会得到训练后的多层卷积神经网络模型。在上述训练过程中，主要经过以下两个阶段：

1)向前传播阶段

在这个阶段中，从训练样本集中获取训练样本，并输入多层卷积神经网络模型，随后计算对应的输出。在此阶段，训练样本经历多层卷积神经网络模型的逐层处理，由输出层输出。

2)向后传播阶段

在这个阶段，通过1)阶段计算出的实际输出与相应的理想输出的差值，通过随机梯度下降的方法使他们误差最小的方式调整网络权值。

402，基于训练的多层卷积神经网络模型，进行网络攻击检测。

本步骤在具体实施时，可以通过如下子步骤实现。

步骤2.1，生成与网络请求对应的检测图片。

步骤2.1的实现方法为：

步骤2.1.1，从网络流量日志中获取各网络请求的日志文本。

步骤2.1.2，对于任一网络请求的日志文本，生成包括任一网络请求的日志文本中的检测对象的图片，将该图片作为与任一网络请求对应的检测图片。

其中，检测对象为如下的一个或多个：页面状态请求码，统一资源标识符(URL或者URI均可)，参数，超文本传输协议http请求方式。

另外，随着图片长宽比例的增大，生成的检测图片中数据的损失量就越大。因此，图片的大小对本实施例提供的方法的准确性至关重要。

在具体实现时，首先针对日志文本的字体，选用文字和符号像素占比相同的字体。再次针对日志文本的字号，根据字符的长宽比(字体长为x，字体宽为y)，求出文字的行列数比(行为a，列为b)；再根据文字的个数L求出初始图像的大小且约束条件如下：

1)x*a＝y*b；

2)a*b＝L；

3)A＝x*a。

基于上述约束条件，得到最优字号为10。

基于上述分析，对于任一网络请求的日志文本，生成包括任一网络请求的日志文本中的检测对象的图片的实现方法为：将任一网络请求的日志文本的字体修改为预设字体，且，将任一网络请求的日志文本的字号修改为10号；生成包括修改后日志文本中的检测对象的正方形灰度图片。

其中，预设字体的文字和符号像素占比相同，本实施例不对预设字体的具体为何进行限定，例如，MonospaceBold。

正方形图片的像素为28*28。

步骤2.2，将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果。

其中，步骤2.2的多层卷积神经网络模型为步骤2.1训练后的多层卷积神经网络模型。

检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果的过程与步骤1.1.3.1至步骤1.1.3.6训练样本的处理过程相似，详见步骤1.1.3.1至步骤1.1.3.6，此处不再赘述。

步骤2.3，将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。

另外，为了使得多层卷积神经网络模型不断更新，需要对多层卷积神经网络模型不断进行自学习。学习过程为：如果检测图片存在标准检测结果，则获取检测图片的标准检测结果，确定网络攻击检测结果与标准检测结果之间的差值，基于差值，通过随机梯度下降方法调整多层卷积神经网络模型中各层网络中的参数。

基于上述方法，可以根据包括修改后日志文本中的检测对象的正方形灰度图片，确定该图片对应的网络请求的网络攻击检测结果，如图5。

本实施例提供的方法，创新的将图片作为检测对象，相对于现有技术中检测日志文本的方法，图片可以保证检测对象的长度可控。以检测对象为URL为例，实际应用中URL可长可短，通过日志文本检测攻击，则提取出的URL的长度不可控，但通过图片检测攻击，该URL的长度最大为28像素，有效的避免了检测对象的长度不可控的问题。

另外，在进行多层卷积神经网络模型训练的过程中，不需要人为的从样本数据中提取特征，多层卷积神经网络模型可以自动的从输入的样本数据中学习平移不变性特征，并且通过卷积运算，降低噪音使原信号特征增强，使得所学特征能更好的刻画样本数据的丰富信息，提高分类性能力。

另外，多层卷积神经网络模型利用图片局部相关性的原理，对图片进行抽样，可以减少数据处理量同时保留有用信息。

此外，多层卷积神经网络模型采取步骤1.1形成的6层网络结构，可以在保证攻击检测效率的同时，保证攻击检测的准确性和全面性，避免了现有技术中检测准确性以及检测全面性不佳的问题。

需要说明的是，本实施例及后续实施例中的“第一”，“第二”等仅用于区分不同的卷积层、池化层、卷积核，偏置参数，Relu激活函数等，不具有其他任何特殊含义。

有益效果：

基于同一发明构思，本实施例提供了一种网络攻击检测装置，由于这些装置解决问题的原理与图4所示的一种网络攻击检测方法相似，因此这些装置的实施可以参见图4所示的方法的实施例，重复之处不再赘述。

参见图6，该装置包括：

生成模块601，用于生成与网络请求对应的检测图片；

检测模块602，用于将生成模块601生成的检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；

确定模块603，用于将检测模块602得到的检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。

可选地，生成模块601，用于从网络流量日志中获取各网络请求的日志文本；对于任一网络请求的日志文本，将任一网络请求的日志文本的字体修改为预设字体，且，将任一网络请求的日志文本的字号修改为10号，预设字体的文字和符号像素占比相同；生成包括修改后日志文本中的检测对象的正方形灰度图片，将该图片作为与任一网络请求对应的检测图片；

其中，正方形图片的像素为28*28；

其中，检测对象为如下的一个或多个：页面状态请求码，统一资源标识符，参数，超文本传输协议请求方式。

可选地，多层卷积神经网络模型包括6层网络；

6层网络依次为第一卷积层，第一池化层，第二卷积层，第二池化层，连接层和输出层；

第一卷积层依次进行第一卷积滤波处理和第一Relu激活函数处理，其中，进行第一卷积滤波处理的滤波器包括32个第一卷积核，各第一卷积核的大小均为5*5，且各第一卷积核均配有一个第一层偏置参数，不同第一卷积核的第一偏执参数可以相同也可以不同；

第一池化层进行max-pooling处理；

第二卷积层依次进行第二卷积滤波处理和第二Relu激活函数处理，其中，进行第二卷积滤波处理的滤波器包括64个第二卷积核，各第二卷积核的大小均为5*5，且各第二卷积核均配有一个第二层偏置参数，不同第二卷积核的第二偏执参数可以相同也可以不同；

第二池化层进行max-pooling处理；

连接层依次进行reshape处理和第三Relu激活函数处理，且连接层包括512个连接层偏置；

输出层依次进行dropout处理，第四Relu激活函数处理和softmax函数处理，且输出层包括2个输出层偏置；

参见图7，该装置，还包括：

学习模块603，用于获取检测图片的标准检测结果；确定网络攻击检测结果与标准检测结果之间的差值；基于差值，通过随机梯度下降方法调整多层卷积神经网络模型中各层网络中的参数。

有益效果如下：

上述实施例中，均可以采用现有的功能元器件模块来实施。例如，处理模块可以采用现有的数据处理元器件，至少，现有定位技术中采用的定位服务器上便具备实现该功能元器件；至于接收模块，则是任意一个具备信号传输功能的设备都具备的元器件；同时，处理模块进行的A、n参数计算、强度调整等采用的都是现有的技术手段，本领域技术人员经过相应的设计开发即可实现。

为了描述的方便，以上所述装置的各部分以功能分为各种模块或单元分别描述。当然，在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

Claims

1.一种网络攻击检测方法，其特征在于，所述方法包括：

生成与网络请求对应的检测图片；

2.根据权利要求1所述的方法，其特征在于，所述生成与网络请求对应的检测图片，包括：

从网络流量日志中获取各网络请求的日志文本；

3.根据权利要求2所述的方法，其特征在于，所述对于任一网络请求的日志文本，生成包括所述任一网络请求的日志文本中的检测对象的图片，包括：

生成包括修改后日志文本中的检测对象的正方形灰度图片。

4.根据权利要求3所述的方法，其特征在于，所述正方形图片的像素为28*28。

5.根据权利要求4所述的方法，其特征在于，所述检测对象为如下的一个或多个：页面状态请求码，统一资源标识符，参数，超文本传输协议请求方式。

6.根据权利要求5所述的方法，其特征在于，所述多层卷积神经网络模型包括6层网络；

所述第一池化层进行max-pooling处理；

所述第二池化层进行max-pooling处理；

7.根据权利要求6所述的方法，其特征在于，将所述检测图片输入多层卷积神经网络模型，得到所述检测图片的网络攻击检测结果之后，还包括：

获取所述所述检测图片的标准检测结果；

8.一种网络攻击检测装置，其特征在于，所述装置包括：

生成模块，用于生成与网络请求对应的检测图片；

9.根据权利要求8所述的装置，其特征在于，所述生成模块，用于从网络流量日志中获取各网络请求的日志文本；对于任一网络请求的日志文本，将所述任一网络请求的日志文本的字体修改为预设字体，且，将所述任一网络请求的日志文本的字号修改为10号，所述预设字体的文字和符号像素占比相同；生成包括修改后日志文本中的检测对象的正方形灰度图片，将该图片作为与所述任一网络请求对应的检测图片；

其中，所述正方形图片的像素为28*28；

10.根据权利要求9所述的装置，其特征在于，所述多层卷积神经网络模型包括6层网络；

所述第一池化层进行max-pooling处理；

所述第二池化层进行max-pooling处理；

所述装置，还包括：