CN117560225A - 一种基于对抗生成网络的Web攻击检测方法 - Google Patents

一种基于对抗生成网络的Web攻击检测方法 Download PDF

Info

Publication number
CN117560225A
CN117560225A CN202410029341.5A CN202410029341A CN117560225A CN 117560225 A CN117560225 A CN 117560225A CN 202410029341 A CN202410029341 A CN 202410029341A CN 117560225 A CN117560225 A CN 117560225A
Authority
CN
China
Prior art keywords
representing
semantic
layer
representation
original
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410029341.5A
Other languages
English (en)
Other versions
CN117560225B (zh
Inventor
黄惟
刘志
刘优
徐伯辰
康占英
王青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changsha Zhiwei Information Technology Co ltd
Original Assignee
Changsha Zhiwei Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changsha Zhiwei Information Technology Co ltd filed Critical Changsha Zhiwei Information Technology Co ltd
Priority to CN202410029341.5A priority Critical patent/CN117560225B/zh
Publication of CN117560225A publication Critical patent/CN117560225A/zh
Application granted granted Critical
Publication of CN117560225B publication Critical patent/CN117560225B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • G06N3/0455Auto-encoder networks; Encoder-decoder networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Machine Translation (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请涉及一种基于对抗生成网络的Web攻击检测方法,该方法包括:对HTTP原始请求数据进行URL二次解码,对解码后的HTTP原始请求数据进行词序随机打乱,得到增强后的HTTP文本;对增强后的HTTP文本进行Transformer嵌入,得到原始语义信息;将原始语义信息输入至训练后的对抗生成网络中的生成器;原始语义信息经过原始语义编码器得到原始语义表征,原始语义表征经过解码器得到生成语义信息,生成语义信息经过生成语义编码器得到生成语义表征;计算原始语义表征与生成语义表征之间的差异;将差异与阈值进行对比,确定Web攻击检测结果。该方法能够在Web攻击检测的分类任务中取得较好的效果。

Description

一种基于对抗生成网络的Web攻击检测方法
技术领域
本申请涉及Web攻击检测技术领域,特别是涉及一种基于对抗生成网络的Web攻击检测方法。
背景技术
随着机器学习和智能技术的兴起,Web攻击检测技术也开始引入这些智能化的方法进行检测,由于对抗生成网络可以天然的使用无监督方式进行对抗数据的生成,对数据具有更强的泛化性,因此,使用对抗生成模型进行无监督训练并检测未知异常攻击更符合现实中的数据条件。
目前,在实际的Web服务中使用对抗生成网络还存在以下几个问题:
1、仅通过添加噪声来进行泛化文本显然是不够的,容易造成模型检测精度不高甚至模型不稳定的问题;
2、如何快速和准确地将原始文本语义和生成文本语义聚合到相似的向量空间是一个难点。
发明内容
基于此,有必要提供一种基于对抗生成网络的Web攻击检测方法。
本发明提供了一种基于对抗生成网络的Web攻击检测方法,该方法包括:
S1:获取HTTP原始请求数据;
S2:对所述HTTP原始请求数据进行URL二次解码,对解码后的HTTP原始请求数据进行词序随机打乱,得到增强后的HTTP文本;
S3:对所述增强后的HTTP文本进行Transformer嵌入,得到原始语义信息;
S4:将所述原始语义信息输入至训练后的对抗生成网络中的生成器,生成器包括原始语义编码器、解码器、生成语义编码器;所述原始语义信息经过所述原始语义编码器得到原始语义表征,所述原始语义表征经过所述解码器得到生成语义信息,所述生成语义信息经过所述生成语义编码器得到生成语义表征;
S5:计算所述原始语义表征与所述生成语义表征之间的差异;
S6:设置一阈值,将所述差异与所述阈值进行对比,确定Web攻击检测结果。
本发明提供的Web攻击检测方法具有以下有益效果:
1、该方法没有采用添加噪声的方式增强数据,而是在得到原始语义信息的过程中,采用词序随机打乱的方式,对生成的数据进行泛化,增强了模型对正常HTTP请求的生成能力,提高了模型对正常数据的生成效果;
2、该方法在Transformer结构的基础上再添加了一个生成语义编码器进行生成语义信息的特征表示,更好地聚合原始数据和生成数据之间的向量相似性,最后形成了原始语义信息-生成语义信息对、原始语义表征-生成语义表征对,为后续训练提供基础,大大提高模型对异常HTTP请求的检测能力;
3、该方法通过设置的阈值与原始语义表征-生成语义表征对的差异进行对比来确定Web攻击检测结果,使得模型可以只是用正常数据进行无监督训练,将正常数据与其对应的生成数据聚合到相似的向量空间,避免了对标注数据的依赖,提高了未知攻击的检测效果;
4、该方法能够在Web攻击检测的分类任务中取得较好的效果,并减少了对标注数据的依赖,节省了数据成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的基于对抗生成网络的Web攻击检测方法的流程图。
图2为本申请实施例的生成器流程图。
图3为本申请实施例的判别器流程图。
图4为本申请实施例的训练流程图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似改进,因此本申请不受下面公开的具体实施例的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
如图1所示,本实施例提供了一种基于对抗生成网络的Web攻击检测方法,该方法包括:
S1:获取HTTP原始请求数据。
S2:对所述HTTP原始请求数据进行URL二次解码,对解码后的HTTP原始请求数据进行词序随机打乱,得到增强后的HTTP文本。
S3:对所述增强后的HTTP文本进行Transformer嵌入,得到原始语义信息。
具体的,Transformer嵌入计算公式为:
其中,H表示原始语义信息,m表示原始语义信息的最大长度,d表示词嵌入的维度;E tok (·)表示Transformer嵌入的词嵌入;E seg (·)表示Transformer嵌入的段嵌入;E pos (·)表示Transformer嵌入的位置嵌入;shuffle(·)表示随机索引函数;X表示增强后的HTTP文本。
传统的对抗生成网络在文本上生成一般采用添加随机噪声增加输入的随机性,继而生成泛化性更强的文本表示,但是,这种方式容易失控,噪声幅度太小时,对于生成数据的泛化性较差,太大时,会破坏生成文本的语义一致性。因此,仅通过添加噪声来进行泛化文本显然是不够的,容易造成检测精度不高的问题。
本实施例提供的方法没有采用添加噪声的方式增强数据,而是在得到原始语义信息的过程中,采用词序随机打乱的方式,并且后续在生成器的原始语义编码器和解码器之间加入了MASK掩码机制的方式,对生成的数据进行泛化,增强了模型对正常HTTP请求的生成能力,提高了模型对正常数据的生成效果。
S4:将所述原始语义信息输入至训练后的对抗生成网络中的生成器,生成器包括原始语义编码器、解码器、生成语义编码器;所述原始语义信息经过所述原始语义编码器得到原始语义表征,所述原始语义表征经过所述解码器得到生成语义信息,所述生成语义信息经过所述生成语义编码器得到生成语义表征。
如图2所示,所述原始语义编码器为Transformer编码器,所述原始语义编码器包括:第一多头注意力机制、第一归一化层、第一前馈网络、第二归一化层;
得到原始语义表征的过程包括:
步骤1:将原始语义编码器的层数设置为层,则在第i层时,来自前一层H i-1的特征由三个线性层矩阵表示,计算公式为:
其中,Q表示查询矩阵;K表示键矩阵;V表示值矩阵;W q 表示第一可训练参数矩阵;W k 表示第二可训练参数矩阵;W v 表示第三可训练参数矩阵;
通过三个线性层矩阵计算第i层的注意力表示,计算公式为:
其中,Attention(Q,K,V)表示第i层的注意力表示;d k 表示键矩阵的维度,T表示转置;
步骤2:通过所述第一多头注意力机制对注意力表示进行多次计算,得到序列的特征表示,计算公式为:
其中,MultiHead(Q,K,V)表示序列的特征表示;Concat(·)表示拼接函数;W 0表示可训练的线性映射矩阵;Attention 1表示第1头的第i层的注意力表示;Attention h 表示第h头的第i层的注意力表示;
步骤3:将所述序列的特征表示通过所述第一归一化层进行残差连接和层标准化,计算公式为:
其中,H表示原始语义信息;layernorm(·)表示标准化函数;x表示残差连接后的特征表示;Y表示层标准化后的特征表示;μx的均值;σx的标准差;x i 表示x中的第i个元素;dx中元素的总数;
步骤4:所述层标准化后的特征表示经过所述第一前馈网络进行非线性转换,得到非线性转换后的特征表示,计算公式为:
其中,FFN(Y)表示非线性转换后的特征表示;W 1表示第一权重矩阵;W 2表示第二权重矩阵;b 1表示第一偏置向量;b 2表示第二偏置向量;
步骤5:通过所述第二归一化层对所述非线性转换后的特征表示进行归一化,得到原始语义编码器第i层的特征表示,计算公式为:
其中,H i 表示原始语义编码器第i层的特征表示;
步骤6:重复步骤1-5,直至执行完次,得到所述原始语义表征,所述原始语义表征记为C,/>,/>表示原始语义编码器第/>层的特征表示。
进一步的,所述解码器为Transformer解码器,在所述解码器前设置有MASK掩码机制,将序列中15%的词随机进行遮蔽,以提高生成数据的泛化性;所述解码器包括:第二多头注意力机制、第三归一化层、第二前馈网络、第四归一化层、第一线性层、第一Softmax层;
第二多头注意力机制的结构与第一多头注意力机制一致;第三归一化层的结构与第一归一化层一致;第二前馈网络的结构与第一前馈网络一致;第四归一化层的结构与第二归一化层一致;
得到生成语义信息的过程包括:
步骤1:将解码器的层数设置为层,所述原始语义表征经过所述MASK掩码机制,得到MASK机制的原始语义表征;所述MASK掩码机制生成mask数组,将mask数组放入解码器中一起计算,即将mask数组中为1的索引j的词表征C j 设置为0;计算公式为:
其中,C表示原始语义表征;C 0表示MASK机制的原始语义表征;
步骤2:所述MASK机制的原始语义表征依次经过所述第二多头注意力机制、所述第三归一化层、所述第二前馈网络以及所述第四归一化层,得到解码器第i层的语义解码表示;
步骤3:重复步骤2,直至执行完次,得到解码器第/>层的语义解码表示;
步骤4:根据所述第一线性层对解码器第l 2层的语义解码表示进行降维,降维后通过所述第一Softmax层,得到所述生成语义信息,计算公式为:
其中,H`表示生成语义信息;softmax(·)表示softmax函数;表示解码器第/>层的语义解码表示;W 0表示权重矩阵;b 0表示偏置向量。
更进一步的,所述生成语义编码器为Transformer编码器,生成语义编码器的结构与所述原始语义编码器一致,且层数也一致;
所述生成语义信息经过所述生成语义编码器执行次,得到所述生成语义表征。
传统的生成对抗网络中的生成器一般采用端对端模型进行设计,文本生成器一般采用LSTM或者卷积网络进行文本编码器的设计,然后采用与编码器相对应的对称结构作为解码器。基于LSTM或者卷积网络的基础模型对文本信息的表示和生成效果不理想,而且这种编码器-解码器结构生成的数据只能由判别器进行检验,聚合到相似的向量空间难度大,因此,这种方式会影响模型的生成数据的效果,进而影响模型的检测效果。如何快速和准确的将原始文本语义和生成文本语义聚合到相似的向量空间是一个难点。
本实施例提供的方法在Transformer结构的基础上再添加了一个生成语义编码器进行生成语义信息的特征表示,更好地聚合原始数据和生成数据之间的向量相似性,最后形成了原始语义信息-生成语义信息对、原始语义表征-生成语义表征对,为后续训练提供基础,能够将正常数据和其对应的生成数据快速和准确聚合到相似的向量空间中,大大提高模型对异常HTTP请求的检测能力
所述对抗生成网络还包括判别器,所述判别器包括第三多头注意力机制、第五归一化层、第三前馈网络、第六归一化层、第二线性层、第二Softmax层;
第三多头注意力机制的结构与第一多头注意力机制一致;第五归一化层的结构与第一归一化层一致;第三前馈网络的结构与第一前馈网络一致;第六归一化层的结构与第二归一化层一致;第二线性层的结构与所述第一线性层一致;第二Softmax层的结构与所述第一Softmax层一致;
如图3所示,判别器的工作流程包括:
步骤1:将训练用的原始语义信息输入至所述判别器,并设置判别器的层数为l 2层;
步骤2:训练用的原始语义信息依次经过所述第三多头注意力机制、所述第五归一化层、所述第三前馈网络以及所述第六归一化层,并重复执行l 1次,得到判别器第l 3层的原始语义表征;
步骤3:根据所述第二线性层对判别器第l 3层的原始语义表征进行降维,降维后通过所述第二Softmax层,得到真实语义概率值,计算公式为:
其中,表示真实语义概率值;softmax(·)表示softmax函数;P H 表示判别器第/>层的原始语义表征;W 3表示第三权重矩阵;b 3表示第三偏置向量;
步骤4:将训练用的所述原始语义信息依次经过所述原始语义编码器、所述解码器,得到训练用的生成语义信息;
步骤5:将训练用的生成语义信息经过依次经过步骤2、步骤3,得到生成语义概率值,计算公式为:
其中,表示生成语义概率值;softmax(·)表示softmax函数;/>表示判别器第层的生成语义表征;W 3表示第三权重矩阵;b 3表示第三偏置向量。
如图4所示,训练过程包括:
根据所述原始语义信息和所述生成器中生成的所述生成语义信息计算出生成损失;生成损失的计算公式为:
其中,表示生成损失;m为原始语义信息的最大长度;H表示原始语义信息;H`表示生成语义信息。
根据所述生成器中生成的所述原始语义表征和所述生成语义表征计算出编码损失;编码损失的计算公式为:
其中,表示编码损失;d表示词嵌入的维度;C表示原始语义表征;/>表示生成语义表征。
根据所述真实语义概率值和所述生成语义概率值计算出对抗损失;对抗损失的计算公式为:
其中,表示对抗损失;/>表示真实语义概率值;/>表示生成语义概率值;表示真实样本,标注为1;/>表示生成样本,标注为0。
基于所述生成损失、所述编码损失以及所述对抗损失计算出总损失;
总损失的计算公式为:
其中,表示总损失;/>表示生成损失权重;/>表示编码损失权重;/>表示对抗损失权重。
通过所述总损失均衡训练所述生成器和所述判别器,得到所述训练后的对抗生成网络。
S5:计算所述原始语义表征与所述生成语义表征之间的差异。
具体的,差异计算公式为:
其中,diff表示差异;C表示原始语义表征;表示生成语义表征;mean(·)表示平均值函数。
S6:设置一阈值,将所述差异与所述阈值进行对比,确定Web攻击检测结果。
具体的,所述将所述差异与所述阈值进行对比,确定Web攻击检测结果,包括:
当所述差异大于等于所述阈值时,判定所述HTTP原始请求数据为异常HTTP请求;
当所述差异小于所述阈值时,判定所述HTTP原始请求数据为正常HTTP请求。
对抗生成网络虽然在数据的泛化性和训练方式上有明显的改变,对于最终的检测分类以往的方法是采用半监督的方法实施,将正常数据和少量攻击数据进行生成泛化数据,然后输入到判别器中进行多分类检测,这种方式在传统的监督训练方法上在泛化性方面有了明显的加强,但是对于标注的攻击数据依然具备很大的依赖性,检测未知异常攻击的效果仍然受到较大影响。
本实施提供的方法通过设置的阈值与原始语义表征-生成语义表征对的差异进行对比来确定Web攻击检测结果,使得模型可以只是用正常数据进行无监督训练,将正常数据与其对应的生成数据聚合到相似的向量空间,避免了对标注数据的依赖,提高了未知攻击的检测效果;
本实施例提供的这种基于对抗生成网络的Web攻击检测方法能够在Web攻击检测的分类任务中取得较好的效果,并减少了对标注数据的依赖,节省了数据成本。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于对抗生成网络的Web攻击检测方法,其特征在于,包括:
S1:获取HTTP原始请求数据;
S2:对所述HTTP原始请求数据进行URL二次解码,对解码后的HTTP原始请求数据进行词序随机打乱,得到增强后的HTTP文本;
S3:对所述增强后的HTTP文本进行Transformer嵌入,得到原始语义信息;
S4:将所述原始语义信息输入至训练后的对抗生成网络中的生成器,生成器包括原始语义编码器、解码器、生成语义编码器;所述原始语义信息经过所述原始语义编码器得到原始语义表征,所述原始语义表征经过所述解码器得到生成语义信息,所述生成语义信息经过所述生成语义编码器得到生成语义表征;
S5:计算所述原始语义表征与所述生成语义表征之间的差异;
S6:设置一阈值,将所述差异与所述阈值进行对比,确定Web攻击检测结果。
2.根据权利要求1所述的基于对抗生成网络的Web攻击检测方法,其特征在于,Transformer嵌入计算公式为:
其中,H表示原始语义信息,m表示原始语义信息的最大长度,d表示词嵌入的维度;E tok (·)表示Transformer嵌入的词嵌入;E seg (·)表示Transformer嵌入的段嵌入;E pos (·)表示Transformer嵌入的位置嵌入;shuffle(·)表示随机索引函数;X表示增强后的HTTP文本。
3.根据权利要求1所述的基于对抗生成网络的Web攻击检测方法,其特征在于,所述原始语义编码器为Transformer编码器,所述原始语义编码器包括:第一多头注意力机制、第一归一化层、第一前馈网络、第二归一化层;
得到原始语义表征的过程包括:
步骤1:将原始语义编码器的层数设置为层,则在第i层时,来自前一层H i-1的特征由三个线性层矩阵表示,计算公式为:
其中,Q表示查询矩阵;K表示键矩阵;V表示值矩阵;W q 表示第一可训练参数矩阵;W k 表示第二可训练参数矩阵;W v 表示第三可训练参数矩阵;
通过三个线性层矩阵计算第i层的注意力表示,计算公式为:
其中,Attention(Q,K,V)表示第i层的注意力表示;d k 表示键矩阵的维度,T表示转置;
步骤2:通过所述第一多头注意力机制对注意力表示进行多次计算,得到序列的特征表示,计算公式为:
其中,MultiHead(Q,K,V)表示序列的特征表示;Concat(·)表示拼接函数;W 0表示可训练的线性映射矩阵;Attention 1表示第1头的第i层的注意力表示;Attention h 表示第h头的第i层的注意力表示;
步骤3:将所述序列的特征表示通过所述第一归一化层进行残差连接和层标准化,计算公式为:
其中,H表示原始语义信息;layernorm(·)表示标准化函数;x表示残差连接后的特征表示;Y表示层标准化后的特征表示;μx的均值;σx的标准差;x i 表示x中的第i个元素;dx中元素的总数;
步骤4:所述层标准化后的特征表示经过所述第一前馈网络进行非线性转换,得到非线性转换后的特征表示,计算公式为:
其中,FFN(Y)表示非线性转换后的特征表示;W 1表示第一权重矩阵;W 2表示第二权重矩阵;b 1表示第一偏置向量;b 2表示第二偏置向量;
步骤5:通过所述第二归一化层对所述非线性转换后的特征表示进行归一化,得到原始语义编码器第i层的特征表示,计算公式为:
其中,H i 表示原始语义编码器第i层的特征表示;
步骤6:重复步骤1-5,直至执行完次,得到所述原始语义表征,所述原始语义表征记为C,/>,/>表示原始语义编码器第/>层的特征表示。
4.根据权利要求3所述的基于对抗生成网络的Web攻击检测方法,其特征在于,所述解码器为Transformer解码器,在所述解码器前设置有MASK掩码机制,所述解码器包括:第二多头注意力机制、第三归一化层、第二前馈网络、第四归一化层、第一线性层、第一Softmax层;
第二多头注意力机制的结构与第一多头注意力机制一致;第三归一化层的结构与第一归一化层一致;第二前馈网络的结构与第一前馈网络一致;第四归一化层的结构与第二归一化层一致;
得到生成语义信息的过程包括:
步骤1:将解码器的层数设置为层,所述原始语义表征经过所述MASK掩码机制,得到MASK机制的原始语义表征,计算公式为:
其中,C表示原始语义表征;C 0表示MASK机制的原始语义表征;
步骤2:所述MASK机制的原始语义表征依次经过所述第二多头注意力机制、所述第三归一化层、所述第二前馈网络以及所述第四归一化层,得到解码器第i层的语义解码表示;
步骤3:重复步骤2,直至执行完次,得到解码器第/>层的语义解码表示;
步骤4:根据所述第一线性层对解码器第l 2层的语义解码表示进行降维,降维后通过所述第一Softmax层,得到所述生成语义信息,计算公式为:
其中,H`表示生成语义信息;softmax(·)表示softmax函数;表示解码器第/>层的语义解码表示;W 0表示权重矩阵;b 0表示偏置向量。
5.根据权利要求3所述的基于对抗生成网络的Web攻击检测方法,其特征在于,所述生成语义编码器为Transformer编码器,生成语义编码器的结构与所述原始语义编码器一致,且层数也一致;
所述生成语义信息经过所述生成语义编码器执行次,得到所述生成语义表征。
6.根据权利要求5所述的基于对抗生成网络的Web攻击检测方法,其特征在于,所述对抗生成网络还包括判别器,所述判别器包括第三多头注意力机制、第五归一化层、第三前馈网络、第六归一化层、第二线性层、第二Softmax层;
第三多头注意力机制的结构与第一多头注意力机制一致;第五归一化层的结构与第一归一化层一致;第三前馈网络的结构与第一前馈网络一致;第六归一化层的结构与第二归一化层一致;第二线性层的结构与第一线性层一致;第二Softmax层的结构与第一Softmax层一致;
判别器的工作流程包括:
步骤1:将训练用的原始语义信息输入至所述判别器,并设置判别器的层数为l 2层;
步骤2:训练用的原始语义信息依次经过所述第三多头注意力机制、所述第五归一化层、所述第三前馈网络以及所述第六归一化层,并重复执行l 1次,得到判别器第l 3层的原始语义表征;
步骤3:根据所述第二线性层对判别器第l 3层的原始语义表征进行降维,降维后通过所述第二Softmax层,得到真实语义概率值,计算公式为:
其中,表示真实语义概率值;softmax(·)表示softmax函数;P H 表示判别器第/>层的原始语义表征;W 3表示第三权重矩阵;b 3表示第三偏置向量;
步骤4:将训练用的所述原始语义信息依次经过所述原始语义编码器、所述解码器,得到训练用的生成语义信息;
步骤5:将训练用的生成语义信息经过依次经过步骤2、步骤3,得到生成语义概率值,计算公式为:
其中,表示生成语义概率值;softmax(·)表示softmax函数;/>表示判别器第/>层的生成语义表征。
7.根据权利要求6所述的基于对抗生成网络的Web攻击检测方法,其特征在于,训练过程包括:
根据所述原始语义信息和所述生成器中生成的所述生成语义信息计算出生成损失;
根据所述生成器中生成的所述原始语义表征和所述生成语义表征计算出编码损失;
根据所述真实语义概率值和所述生成语义概率值计算出对抗损失;
基于所述生成损失、所述编码损失以及所述对抗损失计算出总损失;
通过所述总损失均衡训练所述生成器和所述判别器,得到所述训练后的对抗生成网络。
8.根据权利要求7所述的基于对抗生成网络的Web攻击检测方法,其特征在于,生成损失的计算公式为:
其中,表示生成损失;m为原始语义信息的最大长度;H表示原始语义信息;H`表示生成语义信息;
编码损失的计算公式为:
其中,表示编码损失;d表示词嵌入的维度;C表示原始语义表征;/>表示生成语义表征;
对抗损失的计算公式为:
其中,表示对抗损失;/>表示真实语义概率值;/>表示生成语义概率值;/>表示真实样本,标注为1;/>表示生成样本,标注为0;
总损失的计算公式为:
其中,表示总损失;/>表示生成损失权重;/>表示编码损失权重;/>表示对抗损失权重。
9.根据权利要求1所述的基于对抗生成网络的Web攻击检测方法,其特征在于,差异计算公式为:
其中,diff表示差异;C表示原始语义表征;表示生成语义表征;mean(·)表示平均值函数。
10.根据权利要求1所述的基于对抗生成网络的Web攻击检测方法,其特征在于,所述将所述差异与所述阈值进行对比,确定Web攻击检测结果,包括:
当所述差异大于等于所述阈值时,判定所述HTTP原始请求数据为异常HTTP请求;
当所述差异小于所述阈值时,判定所述HTTP原始请求数据为正常HTTP请求。
CN202410029341.5A 2024-01-09 2024-01-09 一种基于对抗生成网络的Web攻击检测方法 Active CN117560225B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410029341.5A CN117560225B (zh) 2024-01-09 2024-01-09 一种基于对抗生成网络的Web攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410029341.5A CN117560225B (zh) 2024-01-09 2024-01-09 一种基于对抗生成网络的Web攻击检测方法

Publications (2)

Publication Number Publication Date
CN117560225A true CN117560225A (zh) 2024-02-13
CN117560225B CN117560225B (zh) 2024-04-09

Family

ID=89818859

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410029341.5A Active CN117560225B (zh) 2024-01-09 2024-01-09 一种基于对抗生成网络的Web攻击检测方法

Country Status (1)

Country Link
CN (1) CN117560225B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268990A (zh) * 2021-05-19 2021-08-17 北京邮电大学 一种基于对抗攻击的用户人格隐私保护方法
CN113315789A (zh) * 2021-07-29 2021-08-27 中南大学 一种基于多级联合网络的Web攻击检测方法及系统
CN115309879A (zh) * 2022-08-05 2022-11-08 中国石油大学(华东) 一种基于bart的多任务语义解析模型
US20230231860A1 (en) * 2022-01-18 2023-07-20 Palo Alto Networks, Inc. Iot device identification by machine learning with time series behavioral and statistical features
CN116738204A (zh) * 2023-05-29 2023-09-12 南京工程学院 基于生成对抗Transformer的电力负荷数据异常检测方法
CN117235121A (zh) * 2023-11-15 2023-12-15 华北电力大学 一种能源大数据查询方法和系统
CN117294510A (zh) * 2023-10-17 2023-12-26 北京启明星辰信息安全技术有限公司 Web注入攻击分类检测方法及检测系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268990A (zh) * 2021-05-19 2021-08-17 北京邮电大学 一种基于对抗攻击的用户人格隐私保护方法
CN113315789A (zh) * 2021-07-29 2021-08-27 中南大学 一种基于多级联合网络的Web攻击检测方法及系统
US20230231860A1 (en) * 2022-01-18 2023-07-20 Palo Alto Networks, Inc. Iot device identification by machine learning with time series behavioral and statistical features
CN115309879A (zh) * 2022-08-05 2022-11-08 中国石油大学(华东) 一种基于bart的多任务语义解析模型
CN116738204A (zh) * 2023-05-29 2023-09-12 南京工程学院 基于生成对抗Transformer的电力负荷数据异常检测方法
CN117294510A (zh) * 2023-10-17 2023-12-26 北京启明星辰信息安全技术有限公司 Web注入攻击分类检测方法及检测系统
CN117235121A (zh) * 2023-11-15 2023-12-15 华北电力大学 一种能源大数据查询方法和系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
ASHISH VASWANI: "Attention is all you need", ARXIV, 31 December 2017 (2017-12-31), pages 1 - 15, XP002796972 *
FAN, F ET AL;: "Study on Chinese Named Entity Recognition Based on Dynamic Fusion and Adversarial Training", 15TH INTERNATIONAL CONFERENCE ON KNOWLEDGE SCIENCE, ENGINEERING, AND MANAGEMENT (KSEM), 18 November 2022 (2022-11-18), pages 3 - 14 *
HAN ZHANG ET AL;: "self-attention generative adversarial networks", ARXIV, 14 June 2019 (2019-06-14), pages 1 - 10, XP055941139, DOI: 10.48550/arXiv.1805.08318 *
方贤进;刘子豪;杨高明: "基于图像边缘的语义对抗样本", 安徽理工大学学报(自然科学版), no. 005, 31 December 2022 (2022-12-31) *
曹真;杨云;齐勇;李程辉;: "基于多损失约束与注意力块的图像修复方法", 陕西科技大学学报, no. 03, 16 June 2020 (2020-06-16) *

Also Published As

Publication number Publication date
CN117560225B (zh) 2024-04-09

Similar Documents

Publication Publication Date Title
CN109413028B (zh) 基于卷积神经网络算法的sql注入检测方法
Li et al. A hybrid malicious code detection method based on deep learning
CN110933105B (zh) 一种Web攻击检测方法、系统、介质和设备
CN112215292B (zh) 一种基于迁移性的图像对抗样本生成装置及方法
CN110363001B (zh) 一种基于Transformer模型的应用层恶意请求检测方法
CN115796173A (zh) 针对监管报送需求的数据处理方法和系统
CN114842267A (zh) 基于标签噪声域自适应的图像分类方法及系统
CN112926661A (zh) 一种增强图像分类鲁棒性的方法
CN114168938B (zh) 一种基于少量异常标签的半监督sql注入攻击检测方法
CN116821776B (zh) 一种基于图自注意力机制的异质图网络节点分类方法
CN114239807A (zh) 基于rfe-dagmm的高维数据异常检测方法
Yu et al. Detecting malicious web requests using an enhanced textcnn
CN112651025A (zh) 一种基于字符级嵌入编码的webshell检测方法
CN113723070A (zh) 文本相似度模型训练方法、文本相似度检测方法及装置
CN116722992A (zh) 一种基于多模态融合的诈骗网站识别方法及装置
CN116257851A (zh) 一种基于CNN和Vi Transformer的软件恶意代码识别方法
CN117560225B (zh) 一种基于对抗生成网络的Web攻击检测方法
Wang et al. Visual interaction perceptual network for blind image quality assessment
Gong et al. Deep exercise recommendation model
CN116304959B (zh) 一种用于工业控制系统的对抗样本攻击防御方法及系统
CN115481719B (zh) 一种防御基于梯度的对抗攻击的方法
CN117009968A (zh) 恶意代码的同源分析方法、装置、终端设备及存储介质
CN116975864A (zh) 恶意代码检测方法、装置、电子设备及存储介质
CN116226357A (zh) 一种输入中包含错误信息场景下的文档检索方法
CN113343235A (zh) 基于Transformer的应用层恶意有效负载检测方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant