[发明专利]网络攻击检测方法和装置

说明书

本申请提供了一种网络攻击检测方法和装置，属于计算机信息安全技术领域。所述方法包括：生成与网络请求对应的检测图片；将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。本申请生成与网络请求对应的检测图片；将检测图片输入多层卷积神经网络模型，得到检测图片的网络攻击检测结果；将检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果，实现了基于图片本身特征确定图片是否为网络攻击，进而确定图片对应的网络请求是否为网络攻击，避免了现有技术中由于正常模型不能穷举造成的检测准确性以及检测全面性不佳的问题。

技术领域

本申请涉及计算机信息安全技术领域，尤其涉及网络攻击检测方法和装置。

背景技术

保证信息系统安全的经典手段是“存取控制”或“访问控制”，但无论在理论上还是在实践中，这种手段都不能彻底填补一个系统的安全漏洞，也没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。网络攻击检测技术就像治安巡逻队，专门注重于发现形迹可疑者。

目前常用的一种网络攻击检测方法为：根据正常请求制作检测对象的正常模型，将新请求与正常模型进行比对，根据比对结果确定该新请求是否为网络攻击。

例如，若正常请求和攻击请求如图1所示，若检测对象为参数标识id，则将参数id的每个值看作一个序列Sequence，值中的每个字符为该序列中的一个状态State。则对于一个Sequence，如图1中的123或者124或者125，其背后所表达的安全上的解释都是「数字数字数字」，若用「N」来表示「数字」，这样就得到了对应的隐含序列，即正常模型，如图2所示。当新请求的id表达与正常模型不同时，确认新请求为网络攻击，如图3所示。

上述方法的检测准确性、检测全面性均与正常模型息息相关，然而，正常模型并不能穷举正常请求的所有形式，因此上述方法的检测准确性以及检测全面性不佳。

发明内容

为解决上述问题，本申请实施例提出了一种攻击检测方法和装置。

一方面，本申请实施例提供了一种网络攻击检测方法，所述方法包括：

生成与网络请求对应的检测图片；

将所述检测图片输入多层卷积神经网络模型，得到所述检测图片的网络攻击检测结果；

将所述检测图片的网络攻击检测结果确定为对应网络请求的网络攻击检测结果。

可选地，所述生成与网络请求对应的检测图片，包括：

从网络流量日志中获取各网络请求的日志文本；

对于任一网络请求的日志文本，生成包括所述任一网络请求的日志文本中的检测对象的图片，将该图片作为与所述任一网络请求对应的检测图片。

可选地，所述对于任一网络请求的日志文本，生成包括所述任一网络请求的日志文本中的检测对象的图片，包括：

将所述任一网络请求的日志文本的字体修改为预设字体，且，将所述任一网络请求的日志文本的字号修改为10号，所述预设字体的文字和符号像素占比相同；

生成包括修改后日志文本中的检测对象的正方形灰度图片。

可选地，所述正方形图片的像素为28*28。

可选地，所述检测对象为如下的一个或多个：页面状态请求码，统一资源标识符，参数，超文本传输协议请求方式。

可选地，所述多层卷积神经网络模型包括6层网络；

所述6层网络依次为第一卷积层，第一池化层，第二卷积层，第二池化层，连接层和输出层；