CN115618355A - 注入攻击结果判定方法、装置、设备及存储介质 - Google Patents

注入攻击结果判定方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115618355A
CN115618355A CN202211295958.9A CN202211295958A CN115618355A CN 115618355 A CN115618355 A CN 115618355A CN 202211295958 A CN202211295958 A CN 202211295958A CN 115618355 A CN115618355 A CN 115618355A
Authority
CN
China
Prior art keywords
attack
vector
preset
semantic vector
message information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211295958.9A
Other languages
English (en)
Inventor
马坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
360 Digital Security Technology Group Co Ltd
Original Assignee
360 Digital Security Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 360 Digital Security Technology Group Co Ltd filed Critical 360 Digital Security Technology Group Co Ltd
Priority to CN202211295958.9A priority Critical patent/CN115618355A/zh
Publication of CN115618355A publication Critical patent/CN115618355A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3344Query execution using natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3347Query execution using vector based model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Machine Translation (AREA)

Abstract

本发明属于网络安全技术领域,公开了一种注入攻击结果判定方法、装置、设备及存储介质。该方法包括:获取注入攻击的报文信息;根据预设语义向量模型确定所述报文信息的语义向量;将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;根据所述匹配结果判定所述注入攻击的攻击结果。通过数据分析模型,将注入攻击中得到的报文信息进行提取并识别,通过少量的常规攻击中出现的报文信息对所有的注入攻击所产生的攻击结果进行判定,从而避免了人工识别或者半自动识别效率低且容易出错的风险,在实际应用过程中,提升了安全运营的自动化程度和安全分析人员的工作效率。

Description

注入攻击结果判定方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种注入攻击结果判定方法、装置、设备及存储介质。
背景技术
在安全运营的过程中,数据库经常会面临注入攻击的危险,因此对于系统安全分析的需求与日俱增。
在日常安全分析过程中,安全测试人员需要经常去确认每次攻击是否成功/失败,且需要进场进行如上所述的技术判定,而目前的技术难以提供快速的确认过程,需要技术人员反复的查看日志系统,进而极大的影响了安全分析的自动化程度和安全分析人员的工作效率。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种注入攻击结果判定方法、装置、设备及存储介质,旨在解决现有技术无法高效判定注入攻击攻击结果的技术问题。
为实现上述目的,本发明提供了一种注入攻击结果判定方法,所述方法包括以下步骤:
获取注入攻击的报文信息;
根据预设语义向量模型确定所述报文信息的语义向量;
将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;
根据所述匹配结果判定所述注入攻击的攻击结果。
可选的,所述根据预设语义向量模型确定所述报文信息的语义向量之前,还包括:
获取报文数据样本和预训练语言模型;
根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
可选的,所述根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型,包括:
根据所述报文数据样本确定第一训练数据;
根据所述第一训练数据输入预训练语言模型得到语义表征数据;
根据所述语义表征数据计算损失值;
根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
可选的,所述将所述语义向量与预设向量库进行相似度匹配,得到匹配结果之前,还包括:
获取基础注入攻击报文库;
根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
可选的,所述根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库,包括:
对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;
根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
可选的,所述根据所述匹配结果判定所述注入攻击的攻击结果之后,还包括:
在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;
在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;
在所述匹配结果为无匹配向量时,判定为攻击结果未知。
可选的,所述在所述匹配结果为无匹配向量时,判定为攻击结果未知之后,还包括:
在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
可选的,所述根据所述待处理报文信息对所述预设语义向量模型进行优化训练,包括:
对所述待处理报文信息进行标注,得到模型优化样本;
根据所述模型优化样本对预设语义向量模型进行优化训练,得到优化后的预设语义向量模型;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练之后,还包括:
将所述待处理报文信息输入优化后的预设语义向量模型得到,待处理报文语义向量;
将所述待处理报文语义向量加入预设向量库,得到优化后的预设向量库。
可选的,所述将所述语义向量与预设向量库进行相似度匹配,得到匹配结果之前,还包括:
获取所述注入攻击对应的攻击载荷;
根据所述攻击载荷选择预设向量库。
可选的,所述根据所述匹配结果判定所述注入攻击的攻击结果之后,还包括:
在所述匹配结果为无匹配向量时,获取第一相似语义向量,所述第一相似语义向量为预设向量库中与报文信息的语义向量相似度最高的语义向量;
根据所述第一相似语义向量确定对应的第一报文信息;
根据所述第一报文信息和注入攻击的报文信息生成匹配结果报告。
此外,为实现上述目的,本发明还提出一种注入攻击结果判定装置,所述注入攻击结果判定装置包括:
获取模块,用于获取注入攻击的报文信息;
处理模块,用于根据预设语义向量模型确定所述报文信息的语义向量;
所述处理模块,还用于将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;
所述处理模块,还用于根据所述匹配结果判定所述注入攻击的攻击结果。
可选的,所述处理模块,还用于获取报文数据样本和预训练语言模型;
根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
可选的,所述处理模块,还用于根据所述报文数据样本确定第一训练数据;
根据所述第一训练数据输入预训练语言模型得到语义表征数据;
根据所述语义表征数据计算损失值;
根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
可选的,所述处理模块,还用于获取基础注入攻击报文库;
根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
可选的,所述处理模块,还用于对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;
根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
可选的,所述处理模块,还用于在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;
在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;
在所述匹配结果为无匹配向量时,判定为攻击结果未知。
可选的,所述处理模块,还用于在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
可选的,所述处理模块,还用于对所述待处理报文信息进行标注,得到模型优化样本;
根据所述模型优化样本对预设语义向量模型进行优化训练,得到优化后的预设语义向量模型;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练之后,还包括:
将所述待处理报文信息输入优化后的预设语义向量模型得到,待处理报文语义向量;
将所述待处理报文语义向量加入预设向量库,得到优化后的预设向量库。
此外,为实现上述目的,本发明还提出一种注入攻击结果判定设备,所述注入攻击结果判定设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的注入攻击结果判定程序,所述注入攻击结果判定程序配置为实现如上文所述的注入攻击结果判定方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有注入攻击结果判定程序,所述注入攻击结果判定程序被处理器执行时实现如上文所述的注入攻击结果判定方法的步骤。
本发明获取注入攻击的报文信息;根据预设语义向量模型确定所述报文信息的语义向量;将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;根据所述匹配结果判定所述注入攻击的攻击结果。通过数据分析模型,将注入攻击中得到的报文信息进行提取并识别,通过少量的常规攻击中出现的报文信息对所有的注入攻击所产生的攻击结果进行判定,从而避免了人工识别或者半自动识别效率低且容易出错的风险,在实际应用过程中,提升了安全运营的自动化程度和安全分析人员的工作效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的注入攻击结果判定设备的结构示意图;
图2为本发明注入攻击结果判定方法第一实施例的流程示意图;
图3为本发明注入攻击结果判定方法第二实施例的流程示意图;
图4为本发明注入攻击结果判定装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的注入攻击结果判定设备结构示意图。
如图1所示,该注入攻击结果判定设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对注入攻击结果判定设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及注入攻击结果判定程序。
在图1所示的注入攻击结果判定设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明注入攻击结果判定设备中的处理器1001、存储器1005可以设置在注入攻击结果判定设备中,所述注入攻击结果判定设备通过处理器1001调用存储器1005中存储的注入攻击结果判定程序,并执行本发明实施例提供的注入攻击结果判定方法。
本发明实施例提供了一种注入攻击结果判定方法,参照图2,图2为本发明一种注入攻击结果判定方法第一实施例的流程示意图。
本实施例中,所述注入攻击结果判定方法包括以下步骤:
步骤S10:获取注入攻击的报文信息。
需要说明的是,本实施例的执行主体为智能终端,所述智能终端可以为服务器,也可以为电脑,还可以为与服务器功能相同或者相似的其他设备,本实施例对此不加以限定,仅仅以服务器为例进行说明。
可以理解的是,本实施例应用于安全分析的业务场景中,在安全分析过程中,需要进行大量的攻击模拟和测试,以对服务器的安全能力进行分析,但面对注入攻击是否攻击成功的确认过程中,攻击成功或者失败的判断系统并不会给予一个准确的反馈,仅仅只能根据攻击后系统的各种响应报文进行分析以判断攻击是否成功,因此目前基本都是安全人员人工进行分析确认的。而本实施例中通过对攻击的响应报文通过算法提取一定的规律通过语义向量模型对不同报文的语义进行识别,提出了一种基于语义模型的SQL注入攻击的攻击结果智能判定方法。
需要说明的是,注入攻击是对数据库进行攻击的一种常用手段,本实施例即为针对这一手段对应的安全分析过程所提出的方案,其中,报文信息指的是注入攻击发生后系统所产生的响应报文或者其他响应信息,例如:数据库异常报错信息以及其他响应信息等。
步骤S20:根据预设语义向量模型确定所述报文信息的语义向量。
需要说明的是,所述预设语义向量模型可以为语义向量模型,即在输入一段文本信息后可以生成对应的文本的语义向量的模型。例如:语义相似度模型(SentenceTransformer),本实施例对语义向量模型的类型不加以限定,仅仅以语义相似度模型为例进行说明。
应当说明的是,通过将语义向量模型作为识别手段的优势在于,可以根据报文信息的文本内容,通过语义向量模型将报文转化为语义向量,让不同的报文内容进行量化达到可以进行相似度比较的程度。相比于通过关键字进行识别,通过语义向量进行相似度的判断更加灵活,误判的概率更低。
在本实施例中,获取报文数据样本和预训练语言模型;根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
应当说明的是,报文数据样本采集过程可以为,在采样过程中采集到注入攻击所生成的报文响应信息,再将采集到的报文信息进行标注,得到可以用于训练的数据作为报文数据样本。
可以理解的是,本实施例进一步的通过报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型,这里的目的在于,如果直接通过成熟的语义相似度模型进行语义识别,虽然也可以得到语义向量,但在多个语义向量计算相似度的时候,由于报文信息中的文本表达方式和一般的文章、书本的文本表达方式存在一定差异,因此直接得到的语义向量模型模型在面对报文信息相关的文本时泛化能力较低,因此,本实施例提出,使用报文数据样本的进行微调训练(finetuning),可以提取更符合SQL注入上下文语义的句子级别的语义向量。其中,预训练语言模型即为一个成熟的语义相似度模型(如SentenceTransformer),微调训练(finetuning)为一种迁移学习的手段,即保留源模型中大多数的模型设计,但重新训练输出层内容以保证模型能适应当前的工作环境提升模型泛化能力。
在本实施例中,根据所述报文数据样本确定第一训练数据;根据所述第一训练数据输入预训练语言模型得到语义表征数据;根据所述语义表征数据计算损失值;根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
应当说明的是,根据所述报文数据样本确定第一训练数据即为将报文数据样本按一定的数据结构调整为预训练语言模型可以使用的数据,例如:将报文数据样本按照标注进行编组,形成多条训练数据,第一训练数据可以包含源样本、正样本以及负样本。将训练数据输入模型可以得到用于损提供给失函数计算损失值的语义表征数据,最后根据损失值对预训练语言模型进行调整最后训练得到适用于响应文本使用的预设语义向量模型。
步骤S30:将所述语义向量与预设向量库进行相似度匹配,得到匹配结果。
在本实施例中,获取基础注入攻击报文库;根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
需要说明的是,预设向量库即为,预先设置好的报文语义向量的数据库,例如:技术人员首先收集已知或者常见的注入攻击所产生的响应报文,再将这些报文的语义向量组成库。其中,预设向量库可以为一个,也可以按照不同的攻击类别为多个,本实施例对此不加以限定。
在本实施例中,对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
应当说明的是,基础注入攻击报文即为技术人员预先收集已知或者常见的注入攻击所产生的响应报文生成的库。
可以理解的是,对基础注入攻击报文库的标注过程,可以为将每条注入攻击所对应的报文信息进行标记,得到攻击成功报文数据集以及攻击失败报文数据集,再将攻击成功报文数据集以及攻击失败报文数据集输入语义相似模型,得到对应的预设向量库,这时库中每条语义向量都标记有攻击成功或者攻击失败的标记。在匹配过程中,通过确定其匹配到的语义向量即可知道匹配到的语义向量为攻击成功的语义向量还是攻击失败的语义向量。
在本实施例中,获取所述注入攻击对应的攻击载荷;根据所述攻击载荷选择预设向量库。
可以理解的是,攻击载荷为数据库系统被攻陷后执行的多阶段恶意代码。
需要说明的是,如果存在多个预设向量库,则可以是按照注入攻击的类型将基础注入攻击报文库中所有的注入攻击进行分类,每一个类型的注入攻击对应的报文样本确定一个预设向量库。例如:基础注入攻击报文库中含有A、B、C三类注入攻击类型的注入攻击对应的响应报文,那么就可以生成第一预设向量库、第二预设向量库以及第三预设向量库,在进行注入攻击成功与否判定的过程中,将当前注入攻击的攻击载荷作为依据,先判定当前注入攻击的攻击类型,假定当前注入攻击的类型为A,那么就将当前注入攻击对应的报文信息输入预设语义向量模型得到当前响应报文对应的当前语义向量,再根据当前注入攻击的类型为A将当前语义向量找到对应的第一预设向量库进行匹配。
在具体实现中,通过根据攻击载荷选择预设向量库,相比于直接全库匹配,效率更高,进一步提升了匹配效率和准确性。
步骤S40:根据所述匹配结果判定所述注入攻击的攻击结果。
可以理解的是,根据语义向量匹配到的对象,可以根据对象的标签是攻击成功还是攻击失败进而确定当前的注入攻击是成功还是失败,通过语义向量与已知的注入攻击所产生的向量进行相似度计算即可确定语义向量的攻击是否成功。
在本实施例中,在所述匹配结果为无匹配向量时,获取第一相似语义向量,所述第一相似语义向量为预设向量库中与报文信息的语义向量相似度最高的语义向量;根据所述第一相似语义向量确定对应的第一报文信息;根据所述第一报文信息和注入攻击的报文信息生成匹配结果报告。
应当说明的是,由于注入攻击完成后只存在两种结果,一种是攻击成功,一种是攻击失败,如果存在匹配结果为无匹配向量时,说明当前的注入攻击在预设向量库中并未有相似语义向量与其匹配,因此,本实施例提出找到与当前的语义向量相似度最高的语义向量,并将该相似度最高的语义向量与当前注入攻击相关联,以生成匹配结果报告,技术人员即可基于相似度最高的语义向量查找对应的注入攻击,以此注入攻击为基础帮助技术人员进行安全分析或者进一步的对判断过程进行优化。
本实施例获取注入攻击的报文信息;根据预设语义向量模型确定所述报文信息的语义向量;将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;根据所述匹配结果判定所述注入攻击的攻击结果。通过数据分析模型,将注入攻击中得到的报文信息进行提取并识别,通过少量的常规攻击中出现的报文信息对所有的注入攻击所产生的攻击结果进行判定,从而避免了人工识别或者半自动识别效率低且容易出错的风险,在实际应用过程中,提升了安全运营的自动化程度和安全分析人员的工作效率。
参考图3,图3为本发明一种注入攻击结果判定方法第二实施例的流程示意图。
基于上述第一实施例,本实施例注入攻击结果判定方法在所述步骤S40之前,还包括:
步骤S51:在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功。
需要说明的是,在所述匹配结果与攻击成功向量相似度大于第一相似度阈值时,说明当前注入攻击对应的语义向量匹配到的目标为攻击成功的向量,且两者的相似度大于第一相似度阈值,则当前注入攻击的攻击结果为攻击成功。
步骤S52:在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败。
应当说明的是,在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,说明当前注入攻击对应的语义向量匹配到的目标为攻击失败的向量,且两者的相似度大于第二相似度阈值,则当前注入攻击的攻击结果为攻击失败。
可以理解的是,第一相似度阈值和第二相似度阈值均为预先设置好的阈值,第一相似度阈值和第二相似度阈值的数值可以相等,也可以不同,本实施例对此不加以限定。
步骤S53:在所述匹配结果为无匹配向量时,判定为攻击结果未知。
应当说明的是,在所述匹配结果为无匹配向量时,说明在预设向量库中没有匹配到相似的向量,因此判定为攻击结果未知。
在本实施例中,在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
可以理解的是,在未知报文信息数量大于预设数量阈值时,说明有大量的注入攻击无法自动判断注入攻击是否成功,说明预设向量库和语义向量模型已经不适应当前的注入攻击手段需要进行更新,因此,可以先将所有未知报文信息汇总生成待处理报文信息,再待处理报文信息对预设语义向量模型进行进一步训练,以进一步提升模型泛化能力,避免由于模型泛化能力不足导致的语义向量不准确的问题。
在本实施例中,对所述待处理报文信息进行标注,得到模型优化样本;根据所述模型优化样本对预设语义向量模型进行优化训练,得到优化后的预设语义向量模型;根据所述待处理报文信息对所述预设语义向量模型进行优化训练之后,还包括:将所述待处理报文信息输入优化后的预设语义向量模型得到,待处理报文语义向量;将所述待处理报文语义向量加入预设向量库,得到优化后的预设向量库。
应当说明的是,解决了模型泛化能力不足的问题后,匹配结果为无匹配向量出现的情况还可能是由于预设向量库当中的向量种类不充足造成的,因此可以将待处理报文信息输入优化后的预设语义向量模型得到一系列新的语义向量作为预设向量库的补充,以保证再遇到相似的注入攻击时,可以匹配到响应的语义向量,进一步的判断出注入攻击是否成功。
本实施例通过在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;在所述匹配结果为无匹配向量时,判定为攻击结果未知。对匹配结果进行确认,在保证攻击成功与否判断的基础上,筛选出为判断成功的语义向量,为模型进一步优化提供数据基础,提高了判断过程的适应能力,确保判断过程不会因为注入攻击的变化而失效。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有注入攻击结果判定程序,所述注入攻击结果判定程序被处理器执行时实现如上文所述的注入攻击结果判定方法的步骤。
参照图4,图4为本发明注入攻击结果判定装置第一实施例的结构框图。
如图4所示,本发明实施例提出的注入攻击结果判定装置包括:
获取模块10,用于获取注入攻击的报文信息。
处理模块20,用于根据预设语义向量模型确定所述报文信息的语义向量。
所述处理模块20,还用于将所述语义向量与预设向量库进行相似度匹配,得到匹配结果。
所述处理模块20,还用于根据所述匹配结果判定所述注入攻击的攻击结果。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
本实施例获取模块10获取注入攻击的报文信息;处理模块20根据预设语义向量模型确定所述报文信息的语义向量;处理模块20将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;处理模块20根据所述匹配结果判定所述注入攻击的攻击结果。通过数据分析模型,将注入攻击中得到的报文信息进行提取并识别,通过少量的常规攻击中出现的报文信息对所有的注入攻击所产生的攻击结果进行判定,从而避免了人工识别或者半自动识别效率低且容易出错的风险,在实际应用过程中,提升了安全运营的自动化程度和安全分析人员的工作效率。
在一实施例中,所述处理模块20,还用于获取报文数据样本和预训练语言模型;
根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
在一实施例中,所述处理模块20,还用于根据所述报文数据样本确定第一训练数据;
根据所述第一训练数据输入预训练语言模型得到语义表征数据;
根据所述语义表征数据计算损失值;
根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
在一实施例中,所述处理模块20,还用于获取基础注入攻击报文库;
根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
在一实施例中,所述处理模块20,还用于对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;
根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
在一实施例中,所述处理模块20,还用于在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;
在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;
在所述匹配结果为无匹配向量时,判定为攻击结果未知。
在一实施例中,所述处理模块20,还用于在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
在一实施例中,所述处理模块20,还用于对所述待处理报文信息进行标注,得到模型优化样本;
根据所述模型优化样本对预设语义向量模型进行优化训练,得到优化后的预设语义向量模型;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练之后,还包括:
将所述待处理报文信息输入优化后的预设语义向量模型得到,待处理报文语义向量;
将所述待处理报文语义向量加入预设向量库,得到优化后的预设向量库。
在一实施例中,所述处理模块20,还用于获取所述注入攻击对应的攻击载荷;
根据所述攻击载荷选择预设向量库。
在一实施例中,所述处理模块20,还用于在所述匹配结果为无匹配向量时,获取第一相似语义向量,所述第一相似语义向量为预设向量库中与报文信息的语义向量相似度最高的语义向量;
根据所述第一相似语义向量确定对应的第一报文信息;
根据所述第一报文信息和注入攻击的报文信息生成匹配结果报告。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的注入攻击结果判定方法,此处不再赘述。
本申请还提出A1、一种注入攻击结果判定方法,所述注入攻击结果判定方法包括:
获取注入攻击的报文信息;
根据预设语义向量模型确定所述报文信息的语义向量;
将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;
根据所述匹配结果判定所述注入攻击的攻击结果。
A2、如A1所述的方法,所述根据预设语义向量模型确定所述报文信息的语义向量之前,还包括:
获取报文数据样本和预训练语言模型;
根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
A3、如A2所述的方法,所述根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型,包括:
根据所述报文数据样本确定第一训练数据;
根据所述第一训练数据输入预训练语言模型得到语义表征数据;
根据所述语义表征数据计算损失值;
根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
A4、如A1所述的方法,所述将所述语义向量与预设向量库进行相似度匹配,得到匹配结果之前,还包括:
获取基础注入攻击报文库;
根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
A5、如A4所述的方法,所述根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库,包括:
对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;
根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
A6、如A1所述的方法,所述根据所述匹配结果判定所述注入攻击的攻击结果之后,还包括:
在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;
在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;
在所述匹配结果为无匹配向量时,判定为攻击结果未知。
A7、如A6所述的方法,所述在所述匹配结果为无匹配向量时,判定为攻击结果未知之后,还包括:
在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
A8、如A7所述的方法,所述根据所述待处理报文信息对所述预设语义向量模型进行优化训练,包括:
对所述待处理报文信息进行标注,得到模型优化样本;
根据所述模型优化样本对预设语义向量模型进行优化训练,得到优化后的预设语义向量模型;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练之后,还包括:
将所述待处理报文信息输入优化后的预设语义向量模型得到,待处理报文语义向量;
将所述待处理报文语义向量加入预设向量库,得到优化后的预设向量库。
A9、如A1-A8中任一项所述的方法,所述将所述语义向量与预设向量库进行相似度匹配,得到匹配结果之前,还包括:
获取所述注入攻击对应的攻击载荷;
根据所述攻击载荷选择预设向量库。
A10、如A1-A8中任一项所述的方法,所述根据所述匹配结果判定所述注入攻击的攻击结果之后,还包括:
在所述匹配结果为无匹配向量时,获取第一相似语义向量,所述第一相似语义向量为预设向量库中与报文信息的语义向量相似度最高的语义向量;
根据所述第一相似语义向量确定对应的第一报文信息;
根据所述第一报文信息和注入攻击的报文信息生成匹配结果报告。
本申请还提出B11、一种注入攻击结果判定装置,所述注入攻击结果判定装置包括:
获取模块,用于获取注入攻击的报文信息;
处理模块,用于根据预设语义向量模型确定所述报文信息的语义向量;
所述处理模块,还用于将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;
所述处理模块,还用于根据所述匹配结果判定所述注入攻击的攻击结果。
B12、如B11所述的装置,所述处理模块,还用于获取报文数据样本和预训练语言模型;
根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
B13、如B12所述的装置,所述处理模块,还用于根据所述报文数据样本确定第一训练数据;
根据所述第一训练数据输入预训练语言模型得到语义表征数据;
根据所述语义表征数据计算损失值;
根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
B14、如B11所述的装置,所述处理模块,还用于获取基础注入攻击报文库;
根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
B15、如B14所述的装置,所述处理模块,还用于对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;
根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
B16、如B11所述的装置,所述处理模块,还用于在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;
在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;
在所述匹配结果为无匹配向量时,判定为攻击结果未知。
B17、如B16所述的装置,所述处理模块,还用于在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
B18、如B17所述的装置,所述处理模块,还用于对所述待处理报文信息进行标注,得到模型优化样本;
根据所述模型优化样本对预设语义向量模型进行优化训练,得到优化后的预设语义向量模型;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练之后,还包括:
将所述待处理报文信息输入优化后的预设语义向量模型得到,待处理报文语义向量;
将所述待处理报文语义向量加入预设向量库,得到优化后的预设向量库。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种注入攻击结果判定方法,其特征在于,所述注入攻击结果判定方法包括:
获取注入攻击的报文信息;
根据预设语义向量模型确定所述报文信息的语义向量;
将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;
根据所述匹配结果判定所述注入攻击的攻击结果。
2.如权利要求1所述的方法,其特征在于,所述根据预设语义向量模型确定所述报文信息的语义向量之前,还包括:
获取报文数据样本和预训练语言模型;
根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型。
3.如权利要求2所述的方法,其特征在于,所述根据所述报文数据样本对预训练语言模型进行微调训练,得到预设语义向量模型,包括:
根据所述报文数据样本确定第一训练数据;
根据所述第一训练数据输入预训练语言模型得到语义表征数据;
根据所述语义表征数据计算损失值;
根据所述损失值调整预训练语言模型直至模型收敛,得到预设语义向量模型。
4.如权利要求1所述的方法,其特征在于,所述将所述语义向量与预设向量库进行相似度匹配,得到匹配结果之前,还包括:
获取基础注入攻击报文库;
根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库。
5.如权利要求4所述的方法,其特征在于,所述根据预设语义向量模型和基础注入攻击报文库确定至少一个预设向量库,包括:
对所述基础注入攻击报文库进行标注,得到攻击成功报文数据集以及攻击失败报文数据集;
根据所述攻击成功报文数据集以及攻击失败报文数据集生成至少一个预设向量库。
6.如权利要求1所述的方法,其特征在于,所述根据所述匹配结果判定所述注入攻击的攻击结果之后,还包括:
在所述匹配结果为与攻击成功向量相似度大于第一相似度阈值时,判定攻击成功;
在所述匹配结果为与攻击失败向量相似度大于第二相似度阈值时,判定攻击失败;
在所述匹配结果为无匹配向量时,判定为攻击结果未知。
7.如权利要求6所述的方法,其特征在于,所述在所述匹配结果为无匹配向量时,判定为攻击结果未知之后,还包括:
在未知报文信息数量大于预设数量阈值时,根据所述未知报文信息生成待处理报文信息,其中,所述未知报文信息为匹配结果为无匹配向量对应的报文信息;
根据所述待处理报文信息对所述预设语义向量模型进行优化训练。
8.一种注入攻击结果判定装置,其特征在于,所述注入攻击结果判定装置包括:
获取模块,用于获取注入攻击的报文信息;
处理模块,用于根据预设语义向量模型确定所述报文信息的语义向量;
所述处理模块,还用于将所述语义向量与预设向量库进行相似度匹配,得到匹配结果;
所述处理模块,还用于根据所述匹配结果判定所述注入攻击的攻击结果。
9.一种注入攻击结果判定设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的注入攻击结果判定程序,所述注入攻击结果判定程序配置为实现如权利要求1至7中任一项所述的注入攻击结果判定方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有注入攻击结果判定程序,所述注入攻击结果判定程序被处理器执行时实现如权利要求1至7任一项所述的注入攻击结果判定方法的步骤。
CN202211295958.9A 2022-10-21 2022-10-21 注入攻击结果判定方法、装置、设备及存储介质 Pending CN115618355A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211295958.9A CN115618355A (zh) 2022-10-21 2022-10-21 注入攻击结果判定方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211295958.9A CN115618355A (zh) 2022-10-21 2022-10-21 注入攻击结果判定方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115618355A true CN115618355A (zh) 2023-01-17

Family

ID=84864663

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211295958.9A Pending CN115618355A (zh) 2022-10-21 2022-10-21 注入攻击结果判定方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115618355A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574410A (zh) * 2024-01-16 2024-02-20 卓世智星(天津)科技有限公司 风险数据检测方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574410A (zh) * 2024-01-16 2024-02-20 卓世智星(天津)科技有限公司 风险数据检测方法及装置
CN117574410B (zh) * 2024-01-16 2024-04-05 卓世智星(天津)科技有限公司 风险数据检测方法及装置

Similar Documents

Publication Publication Date Title
CN112035599B (zh) 基于垂直搜索的查询方法、装置、计算机设备及存储介质
CN111198948A (zh) 文本分类校正方法、装置、设备及计算机可读存储介质
CN109740347B (zh) 一种针对智能设备固件的脆弱哈希函数的识别与破解方法
CN110781277A (zh) 文本识别模型相似度训练方法、系统、识别方法及终端
CN111460250A (zh) 用于画像的数据的清洗方法、装置、介质及电子设备
CN109829302B (zh) Android恶意应用家族分类方法、装置与电子设备
CN110750984B (zh) 命令行字符串处理方法、终端、装置及可读存储介质
CN113778894B (zh) 测试用例的构建方法、装置、设备及存储介质
CN111368096A (zh) 基于知识图谱的信息分析方法、装置、设备和存储介质
CN113127626B (zh) 基于知识图谱的推荐方法、装置、设备及可读存储介质
CN112036168A (zh) 事件主体识别模型优化方法、装置、设备及可读存储介质
CN116107834A (zh) 日志异常检测方法、装置、设备及存储介质
CN116361147A (zh) 测试用例根因定位方法及其装置、设备、介质、产品
CN115618355A (zh) 注入攻击结果判定方法、装置、设备及存储介质
CN111723182B (zh) 一种用于漏洞文本的关键信息抽取方法及装置
CN116383742B (zh) 基于特征分类的规则链设置处理方法、系统及介质
CN112989829A (zh) 一种命名实体识别方法、装置、设备及存储介质
CN110705258A (zh) 文本实体识别方法及装置
CN115169490A (zh) 一种日志分类方法、装置、设备及计算机可读存储介质
CN113312485B (zh) 日志自动化分类方法及装置、计算机可读存储介质
CN113095073B (zh) 语料标签生成方法、装置、计算机设备和存储介质
CN110888977A (zh) 文本分类方法、装置、计算机设备和存储介质
CN111460268B (zh) 数据库查询请求的确定方法、装置和计算机设备
CN111522750B (zh) 一种功能测试问题的处理方法及系统
CN116414976A (zh) 文档检测方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination