[发明专利]一种攻击检测方法及装置

权利要求书

1.一种攻击检测方法，其特征在于，包括：

对于万维网应用防火墙WAF过滤后的超文本传输协议HTTP请求数据，依据预先构建的词汇表，对所述HTTP请求数据进行序列化，以得到对应的目标标记序列；

将所述目标标记序列输入预先训练的编解码网络模型，以得到所述HTTP请求数据的损失值；

比较所述HTTP请求数据的损失值与阈值；其中，所述阈值依据验证数据集，利用所述预先训练的编解码网络模型得到，所述验证数据集依据经过WAF过滤的历史HTTP请求数据得到；

当所述HTTP请求数据的损失值大于所述阈值时，确定所述HTTP请求数据为攻击数据。

2.根据权利要求1所述的方法，其特征在于，编解码网络模型通过以下方式训练：

获取经过WAF过滤的预设时间段内的历史HTTP请求数据；

基于预先构建的词汇表，对该历史HTTP请求数据进行序列化，以得到对应的标记序列；

基于该标记序列对所述编解码网络模型进行训练，直至训练后的所述编解码网络模型对测试数据集的识别准确率达到预设准确率阈值；其中，所述测试数据集包括该标记序列中的部分标记序列。

3.根据权利要求1所述的方法，其特征在于，当所述HTTP请求数据的损失值大于所述阈值时，所述确定所述HTTP请求数据为攻击数据之前，还包括：

基于所述目标标记序列查询白名单；

当在所述白名单中查询到匹配的记录时，确定所述HTTP请求数据为正常数据；

当未在所述白名单中查询到匹配的记录时，确定执行所述确定所述HTTP请求数据为攻击数据的操作。

4.根据权利要求3所述的方法，其特征在于，当未在所述白名单中查询到匹配的记录时，所述确定所述HTTP请求数据为攻击数据之前，还包括：

输出针对所述目标标记序列的攻击验证提示消息，所述攻击验证提示消息用于提示进行针对所述目标标记序列的攻击验证；

当检测到响应所述攻击验证提示消息返回的第一确认信息时，在所述白名单中增加与所述目标标记序列对应的记录；所述第一确认信息用于指示所述目标标记序列为正常数据；

当检测到响应所述攻击验证提示消息返回的第二确认信息时，确定执行所述确定所述HTTP请求数据为攻击数据的操作；所述第二确认信息用于指示所述目标标记序列为攻击数据。

5.根据权利要求1-4任一项所述的方法，其特征在于，当确定所述HTTP请求数据为攻击数据之后，还包括：

依据所述HTTP请求数据更新WAF规则。

6.一种攻击检测装置，其特征在于，包括：

预处理单元，用于对于万维网应用防火墙WAF过滤后的超文本传输协议HTTP请求数据，依据预先构建的词汇表，对所述HTTP请求数据进行序列化，以得到对应的目标标记序列；

第一确定单元，用于将所述目标标记序列输入预先训练的编解码网络模型，以得到所述HTTP请求数据的损失值；

比较单元，用于比较所述HTTP请求数据的损失值与阈值；其中，所述阈值依据验证数据集，利用所述预先训练的编解码网络模型得到，所述验证数据集依据经过WAF过滤的历史HTTP请求数据得到；

第二确定单元，用于当所述HTTP请求数据的损失值大于所述阈值时，确定所述HTTP请求数据为攻击数据。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

训练单元，用于通过以下方式训练编解码网络模型：

获取经过WAF过滤的预设时间段内的历史HTTP请求数据；

基于预先构建的词汇表，对该历史HTTP请求数据进行序列化，以得到对应的标记序列；

基于该标记序列对所述编解码网络模型进行训练，直至训练后的所述编解码网络模型对测试数据集的识别准确率达到预设准确率阈值；其中，所述测试数据集包括该标记序列中的部分标记序列。