CN113032777A - 一种Web恶意请求检测方法及设备 - Google Patents
一种Web恶意请求检测方法及设备 Download PDFInfo
- Publication number
- CN113032777A CN113032777A CN202110218482.8A CN202110218482A CN113032777A CN 113032777 A CN113032777 A CN 113032777A CN 202110218482 A CN202110218482 A CN 202110218482A CN 113032777 A CN113032777 A CN 113032777A
- Authority
- CN
- China
- Prior art keywords
- malicious
- request
- detection model
- web
- request detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种Web恶意请求检测方法及设备,所述方法包括:接收全球广域网Web请求数据;根据预先训练的Web恶意请求检测模型,对所述Web请求数据进行检测;其中,所述预先训练的Web恶意请求检测模型与单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型有关。本申请实施例通过单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型,针对实际业务系统定制个性化的Web恶意请求检测模型,更加准确的识别出恶意访问请求,进而提升业务系统的安全性。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种Web恶意请求检测方法及设备。
背景技术
随着现代社会中信息技术的高速发展,信息安全技术已成为数据分析领域非常重要的技术之一。
目前,信息安全事件频发的状况,不断引发公众关注。网络安全问题变得越来越敏感和重要,随着当前攻击手段和技术的日益复杂化,使得业务系统面临巨大的安全挑战。在这种情况下,如何有效识别Web恶意请求成为亟需解决的问题。
发明内容
本申请实施例提供一种Web恶意请求检测方法及设备,用于解决现有技术中的如下技术问题:在信息交互的过程中,对Web恶意请求识别的正确率低。
一方面,本申请实施例提供了一种Web恶意请求检测方法,方法包括:接收全球广域网Web请求数据;根据预先训练的Web恶意请求检测模型,对Web请求数据进行检测;其中,预先训练的Web恶意请求检测模型与单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型有关。
一个示例中,预先训练的Web恶意请求检测模型与单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型有关,包括:确定预先训练的Web恶意请求检测模型,包括:单次恶意请求检测模型,单次恶意请求检测模型为通过对变分自编码器模型进行训练得到;面向业务的恶意请求检测模型,面向业务的恶意请求检测模型为通过对第一长短期记忆网络模型进行训练得到;面向恶意攻击者的请求检测模型,面向恶意攻击者的请求检测模型为通过对第二长短期记忆网络模型进行训练得到。
一个示例中,根据预先训练的Web恶意请求检测模型,对Web请求数据进行检测,包括:根据单次恶意请求检测模型,对单次Web请求数据进行检测,确定单次Web请求为恶意请求;根据面向业务的恶意请求检测模型,对所有业务访问序列进行检测,确定恶意请求;根据面向恶意攻击者的请求检测模型,对同一个请求者的业务访问序列进行检测,确定恶意请求。其中,根据Web请求数据,确定所述业务访问序列。
一个示例中,根据单次恶意请求检测模型,确定单次Web请求为恶意请求,包括:确定变分自编码器模型包括编码器、解码器、第一判别器;根据Web请求数据,确定每次Web请求数据的第一分词向量序列;将第一分词向量序列输入编码器,得到嵌入向量编码序列;将嵌入向量编码序列输入解码器,得到第二分词向量序列;将第一分词向量序列与第二分词向量序列输入第一判别器,确定第一分词向量序列与第二分词向量序列的相似程度;根据相似程度,确定恶意请求。
一个示例中,根据面向业务的恶意请求检测模型,对所有业务访问序列进行检测,确定恶意请求,包括:确定面向业务的恶意请求检测模型包括业务行为特征判别单元、第二判别器;根据Web请求数据与嵌入向量编码序列,确定第一向量编码序列;通过业务行为特征判别单元,对第一向量编码序列进行检测,确定Web请求的业务行为特征;将Web请求的业务行为特征输入第二判别器,确定恶意请求。
一个示例中,根据面向恶意攻击者的请求检测模型,对同一个请求者的业务访问序列进行检测,确定恶意请求,包括:确定面向恶意攻击者的请求检测模型包括攻击者行为特征判别单元、第三判别器;根据单次恶意请求检测模型,确定请求者的业务访问序列的嵌入向量编码序列;根据Web请求数据与请求者的业务访问序列的嵌入向量编码序列,确定第二向量编码序列;通过攻击者行为特征判别单元,对第二向量编码序列进行检测,确定请求者的行为特征;将请求者的行为数据输入第三判别器,确定恶意请求。
一个示例中,通过行为特征判别单元,对第二向量编码序列进行检测,确定请求者的行为特征,之前包括:通过中间结果对第二向量编码序列进行缓存,保存上下文;根据请求者的ID加载上下文。
一个示例中,单次恶意请求检测模型为通过对变分自编码器模型进行训练得到,包括:获取Web请求训练数据集,训练数据集包括正常Web请求数据与异常Web请求数据;对编码器与解码器训练,包括:确定编码器包括第一多头注意力卷积神经网络,编码器包括第二多头注意力卷积神经网络;确定正常Web请求数据为正样本;根据正样本,对初始第一多头注意力卷积神经网络与初始第二多头注意力卷积神经网络进行联合训练,以使正常Web请求数据对应的第一分词向量序列的重构误差为最小值;对第一判别器训练,包括:确定正常Web请求数据对应的第二分词向量序列为正样本;确定异常Web请求数据对应的第二分词向量序列为负样本;根据正样本、负样本,对初始判别器进行训练,确定第一判别器。
一个示例中,面向业务的恶意请求检测模型为通过对第一长短期记忆网络模型进行训练得到,包括:将训练数据集输入编码器,确定训练数据集的嵌入向量编码序列;根据训练数据集的嵌入向量编码序列,对初始第一长短期记忆网络模型和初始第二判别器进行联合训练,确定行为特征判别单元与第二判别器;面向恶意攻击者请求检测模型为通过对第二长短期记忆网络模型进行训练得到,包括:根据训练数据集,对请求者进行分类,确定同一个请求者的序列;将请求者的序列输入编码器,确定请求者的序列的嵌入向量编码序列;根据请求者的序列的嵌入向量编码序列,对初始第二长短期记忆网络模型和初始第三判别器进行联合训练,确定攻击者行为特征判别单元与第三判别器。
一个示例中,根据预先训练的Web恶意请求检测模型,对Web请求数据进行检测之后,方法还包括:根据预设规则表达式,对Web恶意请求检测模型的检测结果进行验证,以对Web恶意请求检测模型进行更新。
另一方面,本申请实施例提供了一种Web恶意请求检测设备,该设备包括处理器、存储器和存储在前述存储器上的执行指令,前述执行指令设置成在被前述处理器执行时能够使前述设备执行上述任一项技术方案的方法。
本领域技术人员能够理解的是,本申请实施例通过单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型,针对实际业务系统定制个性化的Web恶意请求检测模型,更加准确的识别出恶意访问请求,进而提升业务系统的安全性。
进一步,通过单次恶意请求检测模型采用变分自编码器模型,可以实现快速判断恶意请求,在一定程度上解决异常Web请求数据少的问题。并且编码器与解码器均采用多头注意力机制的卷积神经网络能够实现更好的并行化,提升其处理效率。
进一步,通过面向业务的恶意请求检测模型与面向恶意攻击者的请求检测模型均采用长短期记忆网络模型,实现了从特定业务系统出发,综合群体访问的时序性特征,能够学习到Web请求之间的内在联系,进一步提高了对恶意请求识别的准确率与业务系统的安全性。
进一步,通过预设规则表达式对Web恶意请求检测模型的检测结果进行验证,持续优化更新Web恶意请求检测模型,不断提升对恶意请求识别的准确率,并且能在一定条件下,通过Web恶意请求检测模型形成判定规则补充到预设规则表达式中。
附图说明
为了更清楚地说明本申请的技术方案,下面将结合附图来对本申请的部分实施例进行详细说明,附图中:
图1是本申请实施例提供的一种Web恶意请求检测模型示意图;
图2是本申请实施例提供的一种Web恶意请求检测方法流程图;
图3是本申请实施例提供的一种Web恶意请求检测模型训练方法流程图;
图4是本申请实施例提供的一种Web恶意请求检测设备结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。本领域技术人员应当理解的是,本节具体实施方式中所描述的实施例仅是本申请的一部分实施例,而不是本申请的全部实施例。基于本节具体实施方式中所描述的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都不会偏离本申请的技术原理,因此都应当落入到本申请的保护范围内。
下面参照附图来对本申请的一些实施例进行详细说明。
图1为本申请实施例提供的一种Web恶意请求检测模型示意图。
如图1所示,Web恶意请求检测模型至少包括:单次恶意请求检测模型、面向业务的恶意请求检测模型、面向恶意攻击者的请求检测模型。
在一个实施例中,单次恶意请求检测模型包括编码器(Encoder)、解码器(Decoder)判别器B。
需要说明是,判别器B为第一判别器。
其中,编码器包括多头(Muti-Head)注意力CNN神经网络,解码器包括多头(Muti-Head)注意力CNN神经网络。
需要说明的是,编码器包括多头(Muti-Head)注意力CNN神经网络,为第一多头注意力卷积神经网络,解码器包括多头(Muti-Head)注意力CNN神经网络,为第二多头注意力卷积神经网络。
在一个实施例中,面向业务的恶意请求检测模型包括业务行为特征单元、异常分类器C。
其中,业务行为特征单元包括LSTM-Bs模型。
需要说明的是,异常分类器C为第二判别器,LSTM-Bs模型为第一长短期记忆网络模型,并且LSTM-Bs可以是任意一种LSTM模型,为了便于与第二长短期记忆网络模型区分,故命名为LSTM-Bs模型。
在一个实施例中,面向恶意攻击者的请求检测模型包括攻击者行为特征单元,异常分类器A。
其中,攻击者行为特征单元包括LSTM-Att模型。
需要说明的是,异常分类器A为第三判别器,LSTM-Att模型为第二长短期记忆网络模型,并且LSTM-Att可以是任意一种LSTM模型,为了便于与第一长短期记忆网络模型区分,故命名为LSTM-Att模型。
服务器通过接收全球广域网Web请求数据,然后根据预先训练的Web恶意请求检测模型,对Web请求数据进行检测,从而完成识别出恶意请求行为。
在一个实施例中,预先训练的Web恶意请求检测模型与单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型有关。
具体地,服务器确定预先训练的Web恶意请求检测模型,包括:单次恶意请求检测模型,单次恶意请求检测模型为通过对变分自编码器模型进行训练得到;面向业务的恶意请求检测模型,面向业务的恶意请求检测模型为通过对第一长短期记忆网络模型进行训练得到;面向恶意攻击者的请求检测模型,面向恶意攻击者的请求检测模型为通过对第二长短期记忆网络模型进行训练得到。
本申请实施例具体如何根据预先训练的Web恶意请求检测模型,对Web请求数据进行检测,以下将通过图2进行解释说明。
图2为本申请实施例提供的一种Web恶意请求检测方法流程图,应用于图1中的Web恶意请求检测模型,如图2所示。可以具体包括:
步骤S101:接收Web请求数据。
具体地,服务器通过超文本传输协议进行接收Web请求,从而确定Web请求数据。
进一步,服务器通过Web请求数据,确定业务访问序列。
步骤S102:根据单次恶意请求检测模型,对单次Web请求数据进行检测,确定单次Web请求为恶意请求。
具体地,服务器确定变分自编码器模型包括编码器、解码器、第一判别器。
在一个实施例中,服务器通过Web请求数据,确定每次Web请求数据的第一分词向量序列。
然后将每次Web请求数据的第一分词向量序列输入编码器中,生成嵌入向量编码序列。其中,图1中的请求嵌入向量为嵌入向量编码序列,嵌入向量编码序列用于描述单次Web请求的语义。
然后将嵌入向量编码序列输入解码器,得到第二分词向量序列。
然后,第一判别器通过重构Web请求,来判断是否为恶意请求,将第一分词向量序列与第二分词向量序列输入第一判别器,输出第一分词向量序列与第二分词向量序列的相似程度。
最后,如果为恶意请求,则根据预先设定的第一置信度规则进行相关处理。
本申请实施例通过单次恶意请求检测模型采用变分自编码器模型,可以实现快速判断恶意请求,在一定程度上解决异常Web请求数据少的问题。并且编码器与解码器均采用多头注意力机制的卷积神经网络能够实现更好的并行化,提升其处理效率。
步骤S103:根据面向业务的恶意请求检测模型,对所有业务访问序列进行检测,确定恶意请求。
需要说明的是,服务器通过Web请求数据,确定本业务系统的所有业务访问序列。也就是说,该所有业务访问序列来自于不同请求者。
具体地,服务器确定面向业务的恶意请求检测模型包括业务行为特征判别单元、第二判别器。
在一个实施例中,服务器根据Web请求数据与嵌入向量编码序列,确定第一向量编码序列。其中,Web请求数据为Web请求业务数据。例如,Web请求业务数据包括请求时间、目标地址、业务信息等数据。
具体地,服务器通过Web请求业务数据与步骤S102中的生成的嵌入向量编码序列输入,得到第一向量编码序列。
然后将第一向量编码序列输入业务行为特征判别单元进行检测,确定Web请求的业务行为特征;
然后将Web请求的业务行为特征输入第二判别器,判断其是否存在恶意请求行为,如果为恶意请求,则根据预先设定的第二置信度规则,进行相关处理。
本申请实施例通过面向业务的恶意请求检测模型从业务系统角度,基于来自不同请求发起方对访问系统的业务访问序列,判断其是否存在恶意请求行为,综合群体访问的时序性特征,能够学习到Web请求之间的内在联系,进一步提高了对恶意请求识别的准确率与业务系统的安全性。
步骤S104:根据面向恶意攻击者的请求检测模型,对同一个请求者的业务访问序列进行检测,确定恶意请求。
具体地,服务器确定面向恶意攻击者的请求检测模型包括攻击者行为特征判别单元、第三判别器。
在一个实施例中,服务器通过请求者的源地址,对多个请求者进行分类。然后将请求者分配到对应的请求者队列中,将同一个请求者的业务访问序列,通过步骤S102中的单次恶意请求检测模型,生成同一个请求者的业务访问序列的嵌入向量编码序列。
然后通过Web请求数据与同一个请求者的业务访问序列的嵌入向量编码序列,确定第二向量编码序列。其中,Web请求数据包括请求时间、源地址、目标地址、业务信息等数据。
然后将第二向量编码序列进行检测输入行为特征判别单元,确定请求者的行为特征;将请求者的行为数据输入第三判别器。
第三判别器判断其是否存在恶意请求行为,如果为恶意请求,则根据预先设定的第三置信度规则,进行相关处理。
在将请求者的行为数据输入第三判别器之间,面向恶意攻击者的请求检测模型可以判断多个访问用户行为,通过中间结果对对第二向量编码序列缓存保存上下文,并可以通过根据队列状态、请求者的ID重新加载上下文,恢复指定用户的行为判断。
本申请实施例从单个攻击者角度,基于来自来同一个请求发起方通过的访问序列,判断其是否存在恶意请求行为,综合群体访问的时序性特征,能够学习到Web请求之间的内在联系,进一步提高了对恶意请求识别的准确率与业务系统的安全性。
进一步,通过缓存机制,在满足条件时,通过第三判别器判断同一个请求者的业务访问序列是否存在恶意请求行为,减轻了服务器的压力。
一个实施例中,服务器根据预设规则表达式,对Web恶意请求检测模型的检测结果进行验证,对Web恶意请求检测模型进行更新。预设规则表达式为传统的规则表达式。
本申请实施例结合传统的规则表达式判定方式结果以及通过深度学习神经网络判定方式,持续优化Web恶意请求检测模型,提升恶意请求判别准确率,并且能在一定条件下,通过Web恶意请求检测模型形成判定规则补充到预设规则表达式中。
本申请实施例具体如何得到预先训练的Web恶意请求检测模型,以下将通过图3进行解释说明。
图3为本申请实施例提供的一种Web恶意请求检测模型训练方法流程图,应用于图1中的Web恶意请求检测模型,如图3所示。可以具体包括:
步骤S201:对变分自编码器模型进行训练得到单次恶意请求检测模型。
具体地,服务器基于业务获取Web请求训练数据集,训练数据集包括正常Web请求数据与异常Web请求数据。
在一个实施例中,服务器将对初始第一多头注意力卷积神经网络与初始第二多头注意力卷积神经网络进行联合起来,将正常Web请求数据作为正样本,进行训练,使得Web请求数据形成的第一分词向量序列的重构误差最小。
进一步,服务器以正常Web请求数据经过编码器和解码器来产生重构Web请求形成的第二分词向量序列为正样本,以异常Web请求数据经过所述的编码器和解码器来产生重构Web请求形成的第二分词向量序列为负样本来进行训练,对初始判别器进行训练,得到第一判别器。
步骤S202:对第一长短期记忆网络模型进行训练得到面向业务的恶意请求检测模型。
具体地,服务器通过步骤S201中获取的Web请求训练数据集,结合步骤S301中的单次恶意请求检测模型的编码器,训练面向业务的恶意请求检测模型。
在一个实施例中,服务器将训练数据集输入编码器,确定训练数据集的嵌入向量编码序列。也就是说,训练数据集包括来自不同请求者对访问系统的业务访问序列。
然后结合训练数据集,根据训练数据集的嵌入向量编码序列,对初始第一长短期记忆网络模型和初始第二判别器进行联合训练,得到训练后的第一长短期记忆网络模型与第二判别器,从而确定行为特征判别单元与第二判别器。
步骤S203:对第二长短期记忆网络模型进行训练得到面向恶意攻击者请求检测模型。
具体地,服务器通过步骤S201中获取的Web请求训练数据集,按照请求者分类,结合步骤S201中的单次恶意请求检测模型的编码器,训练面向恶意攻击者请求检测模型。
在一个实施例中,服务器通过根据训练数据集,对请求者进行分类,确定同一个请求者的序列。
然后将同一个请求者的序列输入编码器,确定同一个请求者的序列的嵌入向量编码序列;根据请求者的序列的嵌入向量编码序列,对初始第二长短期记忆网络模型和初始第三判别器进行联合训练,得到训练后的第二长短期记忆网络模型与第三判别器,从而确定攻击者行为特征判别单元与第三判别器。
如图4所示,本申请还提供了一种Web恶意请求检测设备。该设备在硬件层面上包括处理器,可选地还包括存储器和总线,此外该设备还允许包括其它业务所需要的硬件。
其中,存储器用于存放执行指令,该执行指令具体是能够被执行的计算机程序。进一步,存储器可以包括内存和非易失性存储器(non-volatile memory),并向处理器提供执行指令和数据。示例性地,内存可以是高速随机存取存储器(Random-Access Memory,RAM),非易失性存储器可以是至少1个磁盘存储器。
其中,总线用于将处理器、存储器和网络接口相互连接到一起。该总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线、EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为了便于表示,图4中仅用一个双向箭头表示,但这并不表示仅有一根总线或一种类型的总线。
在上述设备的一种可行的实施方式中,处理器可以先从非易失性存储器中读取对应的执行指令到内存中再运行,也可以先从其它设备上获取相应的执行指令再运行。处理器在执行存储器所存放的执行指令时,能够实现本申请上述任意一个方法实施例中的方法。
本领域技术人员能够理解的是,上述的方法可以应用于处理器中,也可以借助处理器来实现。示例性地,处理器是一种集成电路芯片,具有处理信号的能力。在处理器执行上述方法的过程中,上述方法的各步骤可以通过处理器中硬件形式的集成逻辑电路或软件形式的指令完成。进一步,上述处理器可以是通用处理器,例如中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件、微处理器以及其它任何常规的处理器。
本领域技术人员还能够理解的是,本申请上述方法实施例的步骤可以被硬件译码处理器执行完成,也可以被译码处理器中的硬件和软件模块组合执行完成。其中,软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等其它本领域成熟的存储介质中。该存储介质位于存储器中,处理器读取存储器中的信息之后结合其硬件完成上述方法实施例中步骤的执行。
至此,已经参照附图并结合上述实施例完成了对本申请技术方案的描述。
本领域技术人员能够理解的是,本申请上述的方法实施例能够以方法的形式或计算机程序产品的形式来展现。因此,本申请的技术方案可以采用全硬件的方式来实施,也可以采用全软件的形式来实施,还可以采用软件与硬件相结合的形式来实施。
需要说明的是,为了突出本申请上述多个实施例彼此之间的不同之处,本申请上述的多个实施例之间是以并列的方式和/或递进的方式来进行布局和描述的,并且后面的实施例仅重点说明了其与其它实施例之间的不同之处,各个实施例之间相同或相似的部分可以互相参照。举例说明,对于装置/产品实施例而言,由于装置/产品实施例与方法实施例基本相似,所以描述的相对比较简单,相关之处参见方法实施例对应部分的说明即可。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请技术原理之内所作的任何修改、等同替换、改进等,均应落入本申请的保护范围之内。
Claims (10)
1.一种Web恶意请求检测方法,其特征在于,所述方法包括:
接收全球广域网Web请求数据;
根据预先训练的Web恶意请求检测模型,对所述Web请求数据进行检测;
其中,所述预先训练的Web恶意请求检测模型与单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型有关。
2.根据权利要求1所述的方法,其特征在于,所述所述预先训练的Web恶意请求检测模型与单次恶意请求检测模型、面向业务的恶意请求检测模型以及面向恶意攻击者的请求检测模型有关,包括:
确定所述预先训练的Web恶意请求检测模型,包括:
所述单次恶意请求检测模型,所述单次恶意请求检测模型为通过对变分自编码器模型进行训练得到;
所述面向业务的恶意请求检测模型,所述面向业务的恶意请求检测模型为通过对第一长短期记忆网络模型进行训练得到;
所述面向恶意攻击者的请求检测模型,所述面向恶意攻击者的请求检测模型为通过对第二长短期记忆网络模型进行训练得到。
3.根据权利要求2所述的方法,其特征在于,所述根据预先训练的Web恶意请求检测模型,对Web请求数据进行检测,包括:
根据所述单次恶意请求检测模型,对单次Web请求数据进行检测,确定单次Web请求为恶意请求;
根据所述面向业务的恶意请求检测模型,对所有业务访问序列进行检测,确定恶意请求;
根据所述面向恶意攻击者的请求检测模型,对同一个请求者的业务访问序列进行检测,确定恶意请求;
其中,根据所述Web请求数据,确定所述业务访问序列。
4.根据权利要求3所述的方法,其特征在于,所述根据所述单次恶意请求检测模型,确定单次Web请求为恶意请求,包括:
确定所述变分自编码器模型包括编码器、解码器、第一判别器;
根据所述Web请求数据,确定每次Web请求数据的第一分词向量序列;
将所述第一分词向量序列输入所述编码器,得到嵌入向量编码序列;
将所述嵌入向量编码序列输入所述解码器,得到第二分词向量序列;
将所述第一分词向量序列与所述第二分词向量序列输入所述第一判别器,确定所述第一分词向量序列与所述第二分词向量序列的相似程度;
根据所述相似程度,确定恶意请求。
5.根据权利要求4所述的方法,其特征在于,所述根据所述面向业务的恶意请求检测模型,对所有业务访问序列进行检测,确定恶意请求,包括:
确定所述面向业务的恶意请求检测模型包括业务行为特征判别单元、第二判别器;
根据所述Web请求数据与所述嵌入向量编码序列,确定第一向量编码序列;
通过所述业务行为特征判别单元,对所述第一向量编码序列进行检测,确定Web请求的业务行为特征;
将所述Web请求的业务行为特征输入所述第二判别器,确定恶意请求。
6.根据权利要求5所述的方法,其特征在于,所述根据所述面向恶意攻击者的请求检测模型,对同一个请求者的业务访问序列进行检测,确定恶意请求,包括:
确定所述面向恶意攻击者的请求检测模型包括攻击者行为特征判别单元、第三判别器;
根据所述单次恶意请求检测模型,确定所述请求者的业务访问序列的嵌入向量编码序列;
根据所述Web请求数据与所述所述请求者的业务访问序列的嵌入向量编码序列,确定第二向量编码序列;
通过所述攻击者行为特征判别单元,对所述第二向量编码序列进行检测,确定所述请求者的行为特征;
将所述请求者的行为特征输入第三判别器,确定恶意请求。
7.根据权利要求6所述的方法,其特征在于,所述将所述请求者的行为特征输入第三判别器,之前包括:
通过中间结果对所述第二向量编码序列进行缓存,保存上下文;
根据所述请求者的ID加载上下文。
8.根据权利要求7所述的方法,其特征在于,所述单次恶意请求检测模型为通过对变分自编码器模型进行训练得到,包括:
获取Web请求训练数据集,所述训练数据集包括正常Web请求数据与异常Web请求数据;
对所述编码器与所述解码器训练,包括:
确定所述编码器包括第一多头注意力卷积神经网络,所述编码器包括第二多头注意力卷积神经网络;
确定所述正常Web请求数据为正样本;
根据所述正样本,对初始第一多头注意力卷积神经网络与初始第二多头注意力卷积神经网络进行联合训练,以使所述正常Web请求数据对应的第一分词向量序列的重构误差为最小值;
对所述第一判别器训练,包括:
确定所述正常Web请求数据对应的第二分词向量序列为正样本;
确定所述异常Web请求数据为负样本;
根据所述正样本、所述负样本,对初始判别器进行训练,确定所述第一判别器。
9.根据权利要求8所述的方法,其特征在于,所述所述面向业务的恶意请求检测模型为通过对第一长短期记忆网络模型进行训练得到,包括:
将所述训练数据集输入所述编码器,确定所述训练数据集的嵌入向量编码序列;
根据所述训练数据集的嵌入向量编码序列,对初始第一长短期记忆网络模型和初始第二判别器进行联合训练,确定所述行为特征判别单元与所述第二判别器;
所述面向恶意攻击者请求检测模型为通过对第二长短期记忆网络模型进行训练得到,包括:
根据所述训练数据集,对请求者进行分类,确定同一个请求者的业务访问序列;
将所述请求者的业务访问序列输入所述编码器,确定所述请求者的业务访问序列的嵌入向量编码序列;
根据所述请求者的业务访问序列的嵌入向量编码序列,对初始第二长短期记忆网络模型和初始第三判别器进行联合训练,确定所述攻击者行为特征判别单元与所述第三判别器。
10.一种Web恶意请求检测设备,其特征在于,所述设备包括处理器、存储器和存储在所述存储器上的执行指令,所述执行指令设置成在被所述处理器执行时能够使所述设备执行权利要求1至9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110218482.8A CN113032777B (zh) | 2021-02-26 | 2021-02-26 | 一种Web恶意请求检测方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110218482.8A CN113032777B (zh) | 2021-02-26 | 2021-02-26 | 一种Web恶意请求检测方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113032777A true CN113032777A (zh) | 2021-06-25 |
| CN113032777B CN113032777B (zh) | 2023-04-07 |
Family
ID=76461816
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110218482.8A Active CN113032777B (zh) | 2021-02-26 | 2021-02-26 | 一种Web恶意请求检测方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113032777B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315789A (zh) * | 2021-07-29 | 2021-08-27 | 中南大学 | 一种基于多级联合网络的Web攻击检测方法及系统 |
| CN113806739A (zh) * | 2021-09-16 | 2021-12-17 | 北京华清信安科技有限公司 | 基于深度学习的业务访问数据检测方法 |
| CN114244603A (zh) * | 2021-12-15 | 2022-03-25 | 中国电信股份有限公司 | 异常检测及对比嵌入模型训练、检测方法、装置及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108021806A (zh) * | 2017-11-24 | 2018-05-11 | 北京奇虎科技有限公司 | 一种恶意安装包的识别方法和装置 |
| US20180167412A1 (en) * | 2016-12-08 | 2018-06-14 | Stealth Security, Inc. | Prevention of malicious automation attacks on a web service |
| CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
| CN111277603A (zh) * | 2020-02-03 | 2020-06-12 | 杭州迪普科技股份有限公司 | 无监督异常检测系统和方法 |
| CN111371806A (zh) * | 2020-03-18 | 2020-07-03 | 北京邮电大学 | 一种Web攻击检测方法及装置 |
| CN111600919A (zh) * | 2019-02-21 | 2020-08-28 | 北京金睛云华科技有限公司 | 基于人工智能的web检测方法和装置 |
-
2021
- 2021-02-26 CN CN202110218482.8A patent/CN113032777B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180167412A1 (en) * | 2016-12-08 | 2018-06-14 | Stealth Security, Inc. | Prevention of malicious automation attacks on a web service |
| CN108021806A (zh) * | 2017-11-24 | 2018-05-11 | 北京奇虎科技有限公司 | 一种恶意安装包的识别方法和装置 |
| CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
| CN111600919A (zh) * | 2019-02-21 | 2020-08-28 | 北京金睛云华科技有限公司 | 基于人工智能的web检测方法和装置 |
| CN111277603A (zh) * | 2020-02-03 | 2020-06-12 | 杭州迪普科技股份有限公司 | 无监督异常检测系统和方法 |
| CN111371806A (zh) * | 2020-03-18 | 2020-07-03 | 北京邮电大学 | 一种Web攻击检测方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315789A (zh) * | 2021-07-29 | 2021-08-27 | 中南大学 | 一种基于多级联合网络的Web攻击检测方法及系统 |
| CN113315789B (zh) * | 2021-07-29 | 2021-10-15 | 中南大学 | 一种基于多级联合网络的Web攻击检测方法及系统 |
| CN113806739A (zh) * | 2021-09-16 | 2021-12-17 | 北京华清信安科技有限公司 | 基于深度学习的业务访问数据检测方法 |
| CN113806739B (zh) * | 2021-09-16 | 2022-04-19 | 北京华清信安科技有限公司 | 基于深度学习的业务访问数据检测方法 |
| CN114244603A (zh) * | 2021-12-15 | 2022-03-25 | 中国电信股份有限公司 | 异常检测及对比嵌入模型训练、检测方法、装置及介质 |
| CN114244603B (zh) * | 2021-12-15 | 2024-02-23 | 中国电信股份有限公司 | 异常检测及对比嵌入模型训练、检测方法、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113032777B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113032777B (zh) | 一种Web恶意请求检测方法及设备 | |
| CN108073519B (zh) | 测试用例生成方法和装置 | |
| KR101789962B1 (ko) | 이동 디바이스에서 거동 분석 동작들을 수행함으로써 애플리케이션 상태들을 추론하기 위한 방법 및 시스템 | |
| US8453027B2 (en) | Similarity detection for error reports | |
| CN111931929A (zh) | 一种多任务模型的训练方法、装置及存储介质 | |
| CN110188862B (zh) | 用于数据处理的模型超参数的搜索方法、装置、系统 | |
| CN112990294B (zh) | 行为判别模型的训练方法、装置、电子设备及存储介质 | |
| Song et al. | Permission Sensitivity-Based Malicious Application Detection for Android | |
| US20240143786A1 (en) | Source code clustering for automatically identifying false positives generated through static application security testing | |
| CN109413595B (zh) | 一种垃圾短信的识别方法、装置及存储介质 | |
| CN112597459A (zh) | 一种身份验证方法及装置 | |
| CN115203061B (zh) | 接口自动化测试方法、装置、电子设备及存储介质 | |
| CN111738290A (zh) | 图像检测方法、模型构建和训练方法、装置、设备和介质 | |
| CN111625555A (zh) | 一种订单匹配方法、装置、设备及存储介质 | |
| US20230259631A1 (en) | Detecting synthetic user accounts using synthetic patterns learned via machine learning | |
| US11941115B2 (en) | Automatic vulnerability detection based on clustering of applications with similar structures and data flows | |
| US11663243B2 (en) | System and method for object detection | |
| CN114254588A (zh) | 数据标签处理方法和装置 | |
| CN112929458B (zh) | App应用的服务端地址确定方法、装置以及存储介质 | |
| CN110472415B (zh) | 一种恶意程序的确定方法及装置 | |
| US20200073891A1 (en) | Systems and methods for classifying data in high volume data streams | |
| CN111784352A (zh) | 认证风险识别方法、装置和电子设备 | |
| CN111383124A (zh) | 一种用户材料的校验方法和装置 | |
| Alecakir et al. | Discovering inconsistencies between requested permissions and application metadata by using deep learning | |
| CN113867553B (zh) | 一种快速点击的处理方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230111 Address after: 250101 building S02, 1036 Chaochao Road, high tech Zone, Jinan City, Shandong Province Applicant after: Shandong Inspur Scientific Research Institute Co.,Ltd. Address before: Floor 6, Chaochao Road, Shandong Province Applicant before: JINAN INSPUR HIGH-TECH TECHNOLOGY DEVELOPMENT Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |