[发明专利]注入攻击检测模型构建方法和装置

说明书

根据本发明的实施例提供一种注入攻击检测模型构建方法和装置，以及一种注入攻击检测方法和装置，包括：收集多个样本；对样本进行转码、分词，与攻击词汇表比对生成统一长度的数据集，并提取词向量；利用词向量对神经网络模型进行训练；当评价指标超过阈值时，获得攻击检测模型。根据本发明实施例的注入攻击检测模型构建方法和装置能够实现自动化的训练、学习和检测，并且执行速度和效率高，根据本发明实施例的注入攻击检测方法和装置检测效率、准确率都较高。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种注入攻击的检测模型构建方法和装置，以及一种注入攻击检测方法和装置。

背景技术

随着互联网技术的急速发展，越来越多的个人敏感信息被终端设备所调用，网络安全的重要性也愈发的引起了人们的重视，网络注入攻击，例如XSS、SQL等，一直以来都是网页应用安全风险的重要来源。

现有技术中对于网络注入攻击的主流检测方法为白盒测试和黑盒测试，其中，白盒测试的有效性依靠净化规则的完备性，净化规则太过宽泛会造成漏报，太过严格又会误报，难以把握，而黑盒测试的检测效率较低。使用神经网络深度学习的方法来构建攻击检测模型以实现注入攻击的检测是一种较为理想的方法，但是现有技术中针对注入攻击的检测模型构建方法存在执行速度和效率低、检测准确率不理想等问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的批量数据处理方法和装置。

根据本发明实施例的一个方面，提供一种注入攻击的检测模型构建方法，包括：收集多个样本，包括多个正常样本和多个攻击样本；对每个所述样本进行转码和分词后与攻击词汇表进行比对，生成统一长度数据集，并提取词向量，其中所述攻击词汇表包括所有所述攻击样本中出现频率高于阈值的多个词汇；利用所述词向量对神经网络模型进行训练，其中，所述神经网络模型包括：至少一个卷积层，提升所述词向量的数据维度；至少一个门控循环单元，提取所述词向量中基于时序的特征向量；平化层，降低所述词向量的数据维度；全连接层，接收所述平化层的数据并分类判断；输出层，输出对每个所述样本的检测结果和所述神经网络模型的评价指标；当所述神经网络模型的评价指标高于阈值时，停止训练并获得攻击检测模型。

可选地，所述方法还包括：将所述多个样本随机划分为第一子集和第二子集，以及对所述攻击检测模型进行测试，其中，所述第一子集中的所述样本用于训练所述神经网络模型并获得所述攻击检测模型；所述第二子集中的所述样本用于测试所述攻击检测模型。

可选地，所述转码包括：截取有效载荷；对所述有效载荷进行词汇替换，其中，将中文字符替换为第一字符；将数字替换为第二字符将超链接替换为第三字符。

可选地，所述转码还包括：将统一资源定位符(URL)替换为统一格式，并剔除无意义字符。

可选地，所述对每个所述样本进行转码和分词后与攻击词汇表进行比对，生成统一长度数据集包括：预先设定所述数据集的长度；将所述样本分词后与所述攻击词汇表进行比对，将每个比对不成功的词汇替换为一个第四字符；增加或删除所述第四字符，使所述样本的数据集符合所述预先设定的所述数据集的长度。

可选地，所述神经网络模型还包括：至少一个随机失活层，降低所述神经网络模型中各节点的依赖性，优选地所述随机失活层设置在所述平化层的输入端。

可选地，所述至少一个门控循环单元包括：第一门控循环单元、第二门控循环单元和第三门控循环单元，其中所述第一门控循环单元、第二门控循环单元和第三门控循环单元分别拥有不同的单元数，用于输出不同维度的特征向量。

可选地，所述当所述神经网络模型的评价指标高于阈值时，停止训练并获得注入攻击检测模型包括：定义损失函数；当所述损失函数接近阈值时，中止训练并判断所述精确率和所述召回率是否高于阈值，当所述评价指标低于阈值时，调整所述损失函数，继续训练并重复所述判断，直到所述评价指标高于阈值，获得所述攻击检测模型。