[发明专利]一种基于自编码器的Web攻击行为检测系统

说明书

本发明涉及一种基于自编码器的Web攻击行为检测系统，其特征在于以正常HTTP请求样本经过自编码器模型时产生的模型损失进行度量，以此来进行Web攻击检测，同时使用注意力机制对每个字符的概率分布进行计算，以此来发现并标注攻击载荷。

技术领域

本申请涉及计算机技术领域，具体而言，涉及一种基于自编码器的Web攻击行为检测系统，其特征在于通过对原始HTTP请求样本进行编码，并在解码阶段引入注意力机制，不仅实现对正常请求和攻击请求的分类，同时实现了对攻击栽荷的可视化标注，使检测结果具有了可解释性。

背景技术

近年来，随着互联网技术的飞速发展，一系列网络安全事件受到了广泛关注，其中绝大部分与Web安全密切相关，比如Facebook和中国铁路12306的数据泄露事件。据Imperva公司发布的“2018 Web应用漏洞现状”报告，Web应用漏洞与风险呈逐年增加的趋势，特别是SQL注入、跨站脚本（XSS）和Webshell等攻击手段对Web应用造成了巨大的危害。一次成功的攻击行为可能导致数据泄露、权限窃取甚至直接威胁系统的安全。目前国内外使用机器学习和深度学习模型检测Web攻击，保护Web应用程序的安全。然而模型检测规则的滞后、样本标签的缺乏和结果的可解释性问题，导致当前的攻击检测技术存在一定的瓶颈。因此，一种新型且高效的攻击检测模型具有重要的应用意义和实际价值。

从国内外已有的攻击检测技术，分析出各种检测技术在特征提取、向量构造以及算法选择的思路，并对各种检测技术的优缺点进行了比较。通过对这些检测技术的学习研究，针对目前的检测技术存在的不足，本申请实施例提供一种基于自编码器的攻击检测模型，包括数据准备、攻击检测和攻击载荷可视化三个模块。本申请实施例提供的模型能够有效的发现攻击行为，并实时定位攻击载荷，协助网站维护人员及时发现Web应用的漏洞，保护企业、组织的数据安全，因此具有极大的研究价值和现实意义。

发明内容

本申请实施例提出的模型采用Seq2Seq、自编码器模型、Bi-LSTM算法、注意力机制等技术，设计了一种基于模型损失度量的检测算法，用以对HTTP样本的分类，同时设计了一种基于注意力机制的攻击载荷标注方法，实现了对攻击载荷的可视化标注。

本申请实施例旨在实现如下目标：

（1）使用仅对正常样本进行训练的方式，使用基于模型损失度量的方法，通过设定一个合理的门限值作为模型的分类标准，达到对攻击的检测能力；

（2）引入注意力机制对模型进行优化，通过计算每个输入对模型输出的权重，增强模型对样本分类的准确率；

（3）使模型输出具有“可解释性”，计算模型每个输出的概率序列，通过设定一个输出门限值，以该值作为是否异常输出的标准，并将异常输出元素标注为红色，达到对攻击载荷（异常元素）“可视化”的效果。

为实现上述目的，本申请实施例提出的模型采用了如下技术方案：该Web攻击行为检测系统主要部署在待检测服务器上。系统主要包括数据准备模块、攻击检测模块和攻击载荷可视化模块。

所述的数据准备模块主要由Python编写，主要用于原始数据的预处理、样本清洗标记、词汇表生成以及序列向量的生成。

所述的攻击检测模块主要由模块构建、模型训练、模型损失统计、模型损失分类判定等部分组成，主要完成模型的训练以及使用模型对测试数据集进行分类检测。

所述的攻击载荷标注模块由概率分布统计、概率门限判定等部分组成，主要完成对样本攻击载荷的异常标注。

采用本申请实施例提供的基于自编码器的攻击行为检测模型，不仅降低了对训练样本的要求，减轻工作量，还能对攻击请求中的攻击载荷进行标注。同时，还能拥有很高的检测准确率，为网站维护人员提供了极大的便捷。

附图说明