CN116527373B - 针对恶意url检测系统的后门攻击方法和装置 - Google Patents
针对恶意url检测系统的后门攻击方法和装置 Download PDFInfo
- Publication number
- CN116527373B CN116527373B CN202310559925.9A CN202310559925A CN116527373B CN 116527373 B CN116527373 B CN 116527373B CN 202310559925 A CN202310559925 A CN 202310559925A CN 116527373 B CN116527373 B CN 116527373B
- Authority
- CN
- China
- Prior art keywords
- url
- attack
- backdoor
- sample
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012549 training Methods 0.000 claims abstract description 39
- 238000003062 neural network model Methods 0.000 claims abstract description 38
- 238000012360 testing method Methods 0.000 claims abstract description 31
- 238000012216 screening Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000007547 defect Effects 0.000 abstract description 2
- 238000010801 machine learning Methods 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000011176 pooling Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Molecular Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Databases & Information Systems (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开针对恶意URL检测系统的后门攻击方法及装置,该方法包括获取待生成的后门URL样本的原始URL样本;确定原始URL样本中每个URL中分隔符斜杠的位置信息并对位置信息进行编号得到位置编号结果;基于位置编号结果确定恶意URL检测系统的后门攻击模式,并利用后门攻击模式生成原始URL样本对应的后门URL样本;基于预设比例的后门URL样本构建训练集,并利用训练集对神经网络模型进行训练以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率。本发明解决了目前针对恶意URL检测模型还没有一种行之有效的基于对抗样本的攻击方式的问题,以提高现阶段针对恶意URL检测系统的安全性和鲁棒性容易遭受对抗攻击的缺陷关注度。
Description
技术领域
本发明涉及网络空间安全技术领域,特别是涉及针对恶意URL检测系统的后门攻击方法和装置。
背景技术
统一资源定位符(Uniform Resource Locator,简称URL)作为一种最常见的访问网络资源的手段,是如今人们日常频繁使用的接入网络的基础,如二维码、社交媒体的标签等。随着互联网的发展和普及,互联网上存储的信息越来越多,因此人们越来越需要频繁地接入互联网中,并且访问特定的网络资源。人们的网络活动激增,URL也被更加频繁的使用,随之而来的是恶意攻击者产生了更多、更加新颖的恶意URL危害网络安全。这里的恶意URL包括但是不限于植入木马的网站所对应的URL,钓鱼网站对应的URL。
URL对人们访问网络资源的重要性不言而喻,因此恶意URL检测一直是网络空间安全领域的一个重点研究内容。在传统方法中,使用黑名单存储已知的恶意URL来检测。黑名单方法只能检测已知的恶意URL。为此,随后有学者设计了启发式的黑名单方法来提高黑名单方法检测未知恶意URL的能力。随着机器学习模型的流行,特别是深度学习等方法在大规模数据上所表现出来的强大表征能力,机器学习、深度学习等智能算法也被迅速地用于构建恶意URL检测系统中。相比黑名单方法,基于机器学习、神经网络等智能算法的恶意URL检测系统大大提高了检测未知恶意URL的能力。
然而,机器学习、神经网络等模型已经在很多领域(如图像识别,自然语言处理)被许多国内外学者揭露出在对抗攻击(如后门攻击、投毒攻击)方面存在脆弱性。攻击者通过故意添加细微的干扰形成的恶意对抗样本,通过在模型训练阶段向数据集中加入恶意对抗样本就可以干扰模型,使其以高置信度输出一个错误的输出。对抗样本在各个应用领域的研究已经被广泛开展。然而,由于随意改变URL会导致URL不可访问。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明通过利用服务器可以接受多种URL格式变体的特征,在URL中的特定位置加入任意个数的斜杠不影响URL的访问性的基础上,构造了一种针对恶意URL检测系统的后门攻击方法,对现有的基于机器学习、神经网络等智能算法构建的恶意URL检测系统的安全性提出了更高的要求,解决了目前针对恶意URL检测系统还未能有一种行之有效的后门攻击方法的普遍问题,以促进研究者和互联网厂商针对恶意URL检测系统的安全性开展深入研究。
本发明的另一个目的在于提出一种针对恶意URL检测系统的后门攻击装置。
为达上述目的,本发明一方面提出一种针对恶意URL检测系统的后门攻击方法,包括:
获取待生成的后门URL样本的原始URL样本;
确定所述原始URL样本中每个URL中分隔符斜杠的位置信息,并对所述位置信息进行编号得到位置编号结果;
基于所述位置编号结果确定恶意URL检测系统的后门攻击模式,并利用所述后门攻击模式生成所述原始URL样本对应的后门URL样本;
基于预设比例的所述后门URL样本构建训练集,并利用所述训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率。
另外,根据本发明上述实施例的针对恶意URL检测系统的后门攻击方法还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述获取待生成的后门URL样本的原始URL样本,包括:
通过重新收集URL样本以及对应的标签得到初始URL样本;
通过对所述初始URL样本进行筛选以得到待生成的后门URL样本的原始URL样本。
进一步地,在本发明的一个实施例中,所述基于所述位置编号结果确定恶意URL检测系统的后门攻击模式,并利用所述后门攻击模式生成所述原始URL样本对应的后门URL样本,包括:
在所述原始URL样本的URL中选择第一数量的分隔符斜杠的位置,并确定对应选择的分隔符斜杠的位置编号;
基于所述位置编号和第二数量的分隔符斜杠以确定恶意URL检测系统的后门攻击模式;
根据确定的所述后门攻击模式生成所有原始URL样本的对应后门URL样本。
进一步地,在本发明的一个实施例中,所述基于预设比例的所述后门URL样本构建训练集,并利用所述训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率,包括:
获取训练集中URL样本的单词特征和字符特征以及统计特征;
构建处理所述字符特征和所述单词特征的神经网络模型,并对所述神经网络模型进行训练得到训练好的神经网络模型;
构建所述单词特征和字符特征以及统计特征的URL样本的多特征表示,并将所述多特征表示输入至所述训练好的神经网络模型进行恶意URL检测系统在后门攻击模式的攻击强度测试以得到实时攻击成功率的测试结果。
进一步地,在本发明的一个实施例中,在所述得到实时攻击成功率之后,所述方法,还包括:
根据所述实时攻击成功率实时更新所述后门攻击模式,以使得在更新后的后门攻击模式下所述实时攻击成功率达到预设攻击成功率。
为达上述目的,本发明另一方面提出一种针对恶意URL检测系统的后门攻击装置,包括:
原始样本获取模块,用于获取待生成的后门URL样本的原始URL样本;
位置信息编号模块,用于确定所述原始URL样本中每个URL中分隔符斜杠的位置信息,并对所述位置信息进行编号得到位置编号结果;
后门样本生成模块,用于基于所述位置编号结果确定恶意URL检测系统的后门攻击模式,并利用所述后门攻击模式生成所述原始URL样本对应的后门URL样本;
模式攻击测试模块,用于基于预设比例的所述后门URL样本构建训练集,并利用所述训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率。
本发明实施例的针对恶意URL检测系统的后门攻击方法和装置,针对现有的利用深度学习、机器学习等智能化方法的恶意URL检测系统的安全性提出了更高的要求,主动地评估了此类恶意URL检测系统的脆弱性,解决了目前针对恶意URL检测模型还未能有很好的基于对抗样本的攻击方式的问题,以促进研究者对恶意URL检测系统的安全性和鲁棒性容易遭受对抗攻击的缺陷提高关注。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明实施例的针对恶意URL检测系统的后门攻击方法的流程图;
图2是根据本发明实施例的获取待生成的后门URL样本的原始URL样本的子步骤流程图;
图3是根据本发明实施例的生成原始URL样本对应的后门URL样本的子步骤流程图;
图4是根据本发明实施例的一个可行的后门攻击模式的示意图;
图5是根据本发明实施例的测试后门攻击方法的攻击强度的子步骤流程图;
图6是根据本发明实施例的针对恶意URL检测系统的后门攻击装置的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
下面参照附图描述根据本发明实施例提出的针对恶意URL检测系统的后门攻击方法和装置。
图1是本发明实施例的针对恶意URL检测系统的后门攻击方法的流程图。
如图1所示,该方法包括但不限于以下步骤:
S1,获取待生成的后门URL样本的原始URL样本。
可以理解的是,获取原始URL样本。攻击者获取产生后门URL(表示为)的原始URL(表示为/>)。
作为一种实现方式,图2为本发明实施例的获取待生成的后门URL样本的原始URL样本的子步骤图,如图2所示:
S11,通过重新收集URL样本以及对应的标签得到初始URL样本;
S12,通过对初始URL样本进行筛选以得到待生成的后门URL样本的原始URL样本。
具体地,通过窃取模型拥有者的已有数据或者重新收集URL样本以及对应的标签来得到原始URL样本,样本总数用符号来表示。
具体地,筛选URL样本。为了使得生成的后门URL样本(也被称为恶意URL样本)对目标模型有更好的攻击效果,攻击者需要通过筛选,使所窃取或者收集的原始URL样本应该尽量和模型拥有者的原始URL样本(也被称为良性URL样本)拥有最大相似的数据类型分布。
S2,确定原始URL样本中每个URL中分隔符斜杠的位置信息,并对位置信息进行编号得到位置编号结果。
可以理解的是,本步骤需要对每个样本的URL分别进行分析,获取每个URL中分隔符斜杠‘/’的位置,并对每个URL中的分隔符斜杠‘/’的位置依次进行编号。 可以包括如下步骤:
具体地,攻击者对于窃取或者收集到的所有原始URL样本进行分析,分别获取每个URL中分隔符斜杠‘/’的位置和个数。
具体地,对斜杠进行编号,来确定攻击者可用的攻击模式。对于URL中第个斜杠‘/’的编号用符号/>表示,/>取值从1开始。
S3,基于位置编号结果确定恶意URL检测系统的后门攻击模式,并利用后门攻击模式生成原始URL样本对应的后门URL样本。
可以理解的是,本步骤需要选择一种确定的攻击模式,对于窃取或者收集到的所有原始URL样本,考虑所有URL中统一可用分隔符‘/’的个数和位置,确定一种所有原始URL都可行的后门URL样本生成方法,也即攻击模式,使得攻击模式对所有原始URL样本可行,并生成相应的后门URL样本。
作为一种实现方式,图3为本发明实施例的生成原始URL样本对应的后门URL样本的子步骤图,如图3所示:
S31,在原始URL样本的URL中选择第一数量的分隔符斜杠的位置,并确定对应选择的分隔符斜杠的位置编号;
S32,基于位置编号和第二数量的分隔符斜杠以确定恶意URL检测系统的后门攻击模式;
S33,根据确定的后门攻击模式生成所有原始URL样本的对应后门URL样本。
具体地,选择一种所有原始URL样本都可用的攻击模式。在所有原始URL中选择个斜杠的位置,对应选择的第/>个斜杠的位置的编号用/>表示,在其后面加入/>个斜杠,形成的特定攻击模式表示为:
其中,表示第/>个原始URL样本,/>表示基于第/>个原始URL样本生成的对应的后门URL样本,/>表示选择的第/>个斜杠的位置编号,/>表示在编号为/>的斜杠后面再增加/>个斜杠,/>表示形成后门URL样本的生成过程,/>形成了一种特定的攻击模式。一个可行的后门攻击模式/>的示例如图4所示。
进一步地,根据选择的特定攻击模式生成所有原始URL样本(/>)的对应后门URL样本(/>)。
S4,基于预设比例的后门URL样本构建训练集,并利用训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率。
可以理解的是,该步骤将生成的具有统一攻击模式的后门URL样本以的比例(即/>个后门URL样本)加入到恶意URL检测系统在神经网络等模型训练过程中所使用的训练集中,来测试特定攻击模式的后门攻击方法的攻击强度。
作为一种实现方式,图5为本发明实施例的测试后门攻击方法的攻击强度的子步骤图,如图5所示:
S41,获取训练集中URL样本的单词特征和字符特征以及统计特征;
S42,构建处理字符特征和单词特征的神经网络模型,并对神经网络模型进行训练得到训练好的神经网络模型;
S43,构建单词特征和字符特征以及统计特征的URL样本的多特征表示,并将多特征表示输入至所述训练好的神经网络模型进行恶意URL检测系统在后门攻击模式的攻击强度测试以得到实时攻击成功率的测试结果。
具体地,获取URL的单词和字符特征。对URL中包含特殊字符在内的每个字符、特殊字符分割成的每个字符串作为单词提取特征,其中,每个字符特征被编码为数值后为:
其中,表示一个URL样本的字符表示,/>表示URL中第/>个字符对应的编号,/>表示截取的URL样本中字符特征的个数;/>表示一个URL样本的单词表示,/>表示URL样本中第/>个字符对应的编号,/>表示截取的URL样本中单词特征的个数。
具体地,获取URL的统计特征。对于恶意URL检测系统所用的统计特征,可以加入任意诸如URL中的英文字符个数、数字个数、特殊字符个数、特殊字符个数占URL总长度占比等统计特性,共同构成一个URL样本的统计特征为:
其中,表示一个URL的统计表示,/>表示选取的第/>个统计特征,/>表示截取的URL统计特征的个数。
具体地,构建处理字符特征和单词特征的网络。对于URL样本的字符特征和单词特征,将字符和单词嵌入后的向量利用一维卷积神经网络进一步压缩特征为:
其中,表示一维卷积操作,/>表示卷积操作的卷积核,/>表示偏置,/>表示卷积操作的输入,其下标表示对应的操作范围,/>表示卷积操作的输出。对URL样本的字符和单词特征分别进行卷积操作后得到的特征表示为:
其中,、/>分别表示单词特征、字符特征一次卷积操作后并进行最大池化操作得到的数值,/>、/>分别表示经过卷积和最大池化操作后的一个URL样本的字符特征、单词特征表示。
具体地,构建综合字符特征、单词特征、统计特征的URL样本多特征表示。将URL样本的字符特征、单词特征以及统计特征表示拼接到一起后得到一个URL样本的所有特征表示为:
其中,、/>分别表示得到的单词和字符特征,/>表示得到的URL的统计特征。
具体地,测试上述步骤选择的攻击模式的攻击强度。将得到的一个URL的多特征表示输入一个全连接网络来来测试基于文件路径多样性的恶意URL检测系统后门攻击方法的攻击成功率,即为实时攻击成功率。
进一步地,本发明实施例的方法,还可以根据得到的实时攻击成功率实时更新后门攻击模式,以使得在更新后的后门攻击模式下实时攻击成功率达到预设攻击成功率。
具体地,根据上述步骤得到的攻击成功率调整攻击模式以达到攻击者期望的攻击成功率。
根据本发明实施例的针对恶意URL检测系统的后门攻击方法,利用浏览器解析URL时对URL中的斜杠字符不敏感,设计了巧妙的后门攻击方法,能够主动评估恶意URL检测系统的脆弱性,并且该后门攻击方法具有灵活性和隐蔽性,能够引起学者们对恶意URL检测系统的安全性的关注。
为了实现上述实施例,如图6所示,本实施例中还提供了针对恶意URL检测系统的后门攻击装置10,该装置10包括,原始样本获取模块100、位置信息编号模块200、后门样本生成模块300和模式攻击测试模块400。
原始样本获取模块100,用于获取待生成的后门URL样本的原始URL样本;
位置信息编号模块200,用于确定原始URL样本中每个URL中分隔符斜杠的位置信息,并对位置信息进行编号得到位置编号结果;
后门样本生成模块300,用于基于位置编号结果确定恶意URL检测系统的后门攻击模式,并利用后门攻击模式生成原始URL样本对应的后门URL样本;
模式攻击测试模块400,用于基于预设比例的后门URL样本构建训练集,并利用训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率。
进一步地,上述原始样本获取模块100,还用于:
通过重新收集URL样本以及对应的标签得到初始URL样本;
通过对初始URL样本进行筛选以得到待生成的后门URL样本的原始URL样本。
进一步地,上述后门样本生成模块300,还用于:
在原始URL样本的URL中选择第一数量的分隔符斜杠的位置,并确定对应选择的分隔符斜杠的位置编号;
基于位置编号和第二数量的分隔符斜杠以确定恶意URL检测系统的后门攻击模式;
根据确定的后门攻击模式生成所有原始URL样本的对应后门URL样本。
进一步地,上述模式攻击测试模块400,还用于:
获取训练集中URL样本的单词特征和字符特征以及统计特征;
构建处理字符特征和单词特征的神经网络模型,并对神经网络模型进行训练得到训练好的神经网络模型;
构建单词特征和字符特征以及统计特征的URL样本的多特征表示,并将多特征表示输入至训练好的神经网络模型进行恶意URL检测系统在后门攻击模式的攻击强度测试以得到实时攻击成功率的测试结果。
进一步地,在模式攻击测试模块400之后,还包括模式更新模块,
模式更新模块,用于根据实时攻击成功率实时更新后门攻击模式,以使得在更新后的后门攻击模式下实时攻击成功率达到预设攻击成功率。
根据本发明实施例的针对恶意URL检测系统的后门攻击装置,利用浏览器解析URL时对URL中的斜杠字符不敏感,设计了后门攻击模式,能够主动评估恶意URL检测系统的脆弱性,并且该后门攻击模式具有灵活性和隐蔽性,能够引起学者们对恶意URL检测系统的安全性的关注。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、 “示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
Claims (6)
1.一种针对恶意URL检测系统的后门攻击方法,其特征在于,包括以下步骤:
获取待生成的后门URL样本的原始URL样本;
确定所述原始URL样本中每个URL中分隔符斜杠的位置信息,并对所述位置信息进行编号得到位置编号结果;
基于所述位置编号结果确定恶意URL检测系统的后门攻击模式,并利用所述后门攻击模式生成所述原始URL样本对应的后门URL样本;
基于预设比例的所述后门URL样本构建训练集,并利用所述训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率;
所述获取待生成的后门URL样本的原始URL样本,包括:
通过重新收集URL样本以及对应的标签得到初始URL样本;
通过对所述初始URL样本进行筛选以得到待生成的后门URL样本的原始URL样本;
所述基于所述位置编号结果确定恶意URL检测系统的后门攻击模式,并利用所述后门攻击模式生成所述原始URL样本对应的后门URL样本,包括:
在所述原始URL样本的URL中选择第一数量的分隔符斜杠的位置,并确定对应选择的分隔符斜杠的位置编号;
基于所述位置编号和第二数量的分隔符斜杠以确定恶意URL检测系统的后门攻击模式;
根据确定的所述后门攻击模式生成所有原始URL样本的对应后门URL样本;
在所有原始URL样本中选择个斜杠的位置,对应选择的第/>个斜杠的位置的编号用/>表示,在后面加入/>个斜杠,形成的特定攻击模式表示为:
其中,表示第/>个原始URL样本,/>表示基于第/>个原始URL样本生成的对应的后门URL样本,/>表示选择的第/>个斜杠的位置编号,/>表示在编号为/>的斜杠后面再增加/>个斜杠,/>表示形成后门URL样本的生成过程,/>形成特定攻击模式;
根据选择的特定攻击模式生成所有原始URL样本(/>)的对应后门URL样本(/>)。
2.根据权利要求1所述的方法,其特征在于,所述基于预设比例的所述后门URL样本构建训练集,并利用所述训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率,包括:
获取训练集中URL样本的单词特征和字符特征以及统计特征;
构建处理所述字符特征和所述单词特征的神经网络模型,并对所述神经网络模型进行训练得到训练好的神经网络模型;
构建所述单词特征和字符特征以及统计特征的URL样本的多特征表示,并将所述多特征表示输入至所述训练好的神经网络模型进行恶意URL检测系统在后门攻击模式的攻击强度测试以得到实时攻击成功率的测试结果。
3.根据权利要求2所述的方法,其特征在于,在所述得到实时攻击成功率之后,所述方法,还包括:
根据所述实时攻击成功率实时更新所述后门攻击模式,以使得在更新后的后门攻击模式下所述实时攻击成功率达到预设攻击成功率。
4.一种针对恶意URL检测系统的后门攻击装置,其特征在于,包括:
原始样本获取模块,用于获取待生成的后门URL样本的原始URL样本;
位置信息编号模块,用于确定所述原始URL样本中每个URL中分隔符斜杠的位置信息,并对所述位置信息进行编号得到位置编号结果;
后门样本生成模块,用于基于所述位置编号结果确定恶意URL检测系统的后门攻击模式,并利用所述后门攻击模式生成所述原始URL样本对应的后门URL样本;
模式攻击测试模块,用于基于预设比例的所述后门URL样本构建训练集,并利用所述训练集对神经网络模型进行训练,以利用训练好的神经网络模型测试恶意URL检测系统在后门攻击模式下的攻击强度以得到实时攻击成功率;
所述原始样本获取模块,还用于:
通过重新收集URL样本以及对应的标签得到初始URL样本;
通过对所述初始URL样本进行筛选以得到待生成的后门URL样本的原始URL样本;
所述后门样本生成模块,还用于:
在所述原始URL样本的URL中选择第一数量的分隔符斜杠的位置,并确定对应选择的分隔符斜杠的位置编号;
基于所述位置编号和第二数量的分隔符斜杠以确定恶意URL检测系统的后门攻击模式;
根据确定的所述后门攻击模式生成所有原始URL样本的对应后门URL样本;
还用于:
在所有原始URL样本中选择个斜杠的位置,对应选择的第/>个斜杠的位置的编号用/>表示,在后面加入/>个斜杠,形成的特定攻击模式表示为:
其中,表示第/>个原始URL样本,/>表示基于第/>个原始URL样本生成的对应的后门URL样本,/>表示选择的第/>个斜杠的位置编号,/>表示在编号为/>的斜杠后面再增加/>个斜杠,/>表示形成后门URL样本的生成过程,/>形成特定攻击模式;
根据选择的特定攻击模式生成所有原始URL样本(/>)的对应后门URL样本(/>)。
5.根据权利要求4所述的装置,其特征在于,所述模式攻击测试模块,还用于:
获取训练集中URL样本的单词特征和字符特征以及统计特征;
构建处理所述字符特征和所述单词特征的神经网络模型,并对所述神经网络模型进行训练得到训练好的神经网络模型;
构建所述单词特征和字符特征以及统计特征的URL样本的多特征表示,并将所述多特征表示输入至所述训练好的神经网络模型进行恶意URL检测系统在后门攻击模式的攻击强度测试以得到实时攻击成功率的测试结果。
6.根据权利要求5所述的装置,其特征在于,在所述模式攻击测试模块之后,还包括模式更新模块,
所述模式更新模块,用于根据所述实时攻击成功率实时更新所述后门攻击模式,以使得在更新后的后门攻击模式下所述实时攻击成功率达到预设攻击成功率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310559925.9A CN116527373B (zh) | 2023-05-18 | 2023-05-18 | 针对恶意url检测系统的后门攻击方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310559925.9A CN116527373B (zh) | 2023-05-18 | 2023-05-18 | 针对恶意url检测系统的后门攻击方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116527373A CN116527373A (zh) | 2023-08-01 |
| CN116527373B true CN116527373B (zh) | 2023-10-20 |
Family
ID=87399339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310559925.9A Active CN116527373B (zh) | 2023-05-18 | 2023-05-18 | 针对恶意url检测系统的后门攻击方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116527373B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428196A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种基于url白名单的web应用入侵检测方法和装置 |
| CN105429953A (zh) * | 2015-10-30 | 2016-03-23 | 上海红神信息技术有限公司 | 一种用于访问网站的方法、装置和系统 |
| CN105956472A (zh) * | 2016-05-12 | 2016-09-21 | 宝利九章(北京)数据技术有限公司 | 识别网页中是否包含恶意内容的方法和系统 |
| CN108718291A (zh) * | 2018-02-28 | 2018-10-30 | 北京微智信业科技有限公司 | 一种基于大数据的恶意url检测方法 |
| CN113347177A (zh) * | 2021-05-31 | 2021-09-03 | 中国工商银行股份有限公司 | 钓鱼网站检测方法、检测系统、电子设备及可读存储介质 |
| CN115130098A (zh) * | 2022-06-27 | 2022-09-30 | 云南大学 | 一种针对恶意软件检测深度学习模型的动态后门攻击方法 |
| CN115964478A (zh) * | 2021-10-08 | 2023-04-14 | 中移(杭州)信息技术有限公司 | 网络攻击检测方法、模型训练方法及装置、设备及介质 |
| CN116108880A (zh) * | 2023-04-12 | 2023-05-12 | 北京华云安信息技术有限公司 | 随机森林模型的训练方法、恶意网站检测方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150067853A1 (en) * | 2013-08-27 | 2015-03-05 | Georgia Tech Research Corporation | Systems and methods for detecting malicious mobile webpages |
| CN109902709B (zh) * | 2019-01-07 | 2020-12-08 | 浙江大学 | 一种基于对抗学习的工业控制系统恶意样本生成方法 |
-
2023
- 2023-05-18 CN CN202310559925.9A patent/CN116527373B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428196A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种基于url白名单的web应用入侵检测方法和装置 |
| CN105429953A (zh) * | 2015-10-30 | 2016-03-23 | 上海红神信息技术有限公司 | 一种用于访问网站的方法、装置和系统 |
| CN105956472A (zh) * | 2016-05-12 | 2016-09-21 | 宝利九章(北京)数据技术有限公司 | 识别网页中是否包含恶意内容的方法和系统 |
| CN108718291A (zh) * | 2018-02-28 | 2018-10-30 | 北京微智信业科技有限公司 | 一种基于大数据的恶意url检测方法 |
| CN113347177A (zh) * | 2021-05-31 | 2021-09-03 | 中国工商银行股份有限公司 | 钓鱼网站检测方法、检测系统、电子设备及可读存储介质 |
| CN115964478A (zh) * | 2021-10-08 | 2023-04-14 | 中移(杭州)信息技术有限公司 | 网络攻击检测方法、模型训练方法及装置、设备及介质 |
| CN115130098A (zh) * | 2022-06-27 | 2022-09-30 | 云南大学 | 一种针对恶意软件检测深度学习模型的动态后门攻击方法 |
| CN116108880A (zh) * | 2023-04-12 | 2023-05-12 | 北京华云安信息技术有限公司 | 随机森林模型的训练方法、恶意网站检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116527373A (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833409B (zh) | 基于深度学习和半监督学习的webshell检测方法及装置 | |
| Zhao et al. | A review of computer vision methods in network security | |
| US20210021616A1 (en) | Method and system for classifying data objects based on their network footprint | |
| CN110808968A (zh) | 网络攻击检测方法、装置、电子设备和可读存储介质 | |
| Liu et al. | Web intrusion detection system combined with feature analysis and SVM optimization | |
| CN103577755A (zh) | 一种基于支持向量机的恶意脚本静态检测方法 | |
| CN109005145A (zh) | 一种基于自动特征抽取的恶意url检测系统及其方法 | |
| CN110135157A (zh) | 恶意软件同源性分析方法、系统、电子设备及存储介质 | |
| Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
| CN110221977A (zh) | 基于ai的网站渗透测试方法 | |
| CN111259219A (zh) | 恶意网页识别模型、识别模型建立方法、识别方法及系统 | |
| CN116992299B (zh) | 区块链交易异常检测模型的训练方法、检测方法及装置 | |
| Corona et al. | Detection of server-side web attacks | |
| CN115080756A (zh) | 一种面向威胁情报图谱的攻防行为和时空信息抽取方法 | |
| Nowroozi et al. | An adversarial attack analysis on malicious advertisement url detection framework | |
| CN109450880A (zh) | 基于决策树的钓鱼网站检测方法、装置及计算机设备 | |
| Mythreya et al. | Prediction and prevention of malicious URL using ML and LR techniques for network security: machine learning | |
| Gupta et al. | GeneMiner: a classification approach for detection of XSS attacks on web services | |
| Lee et al. | Attacking logo-based phishing website detectors with adversarial perturbations | |
| CN110855635B (zh) | Url识别方法、装置及数据处理设备 | |
| Lu et al. | A GAN-based method for generating SQL injection attack samples | |
| Kasim | Automatic detection of phishing pages with event-based request processing, deep-hybrid feature extraction and light gradient boosted machine model | |
| CN116527373B (zh) | 针对恶意url检测系统的后门攻击方法和装置 | |
| CN110413909B (zh) | 基于机器学习的大规模嵌入式设备在线固件智能识别方法 | |
| CN114124448A (zh) | 一种基于机器学习的跨站脚本攻击识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |