[发明专利]基于改进fastText的跨站脚本攻击检测方法

权利要求书

1.基于改进fastText的跨站脚本攻击检测方法，其特征在于，包括：

数据预处理，将对象字符串进行预处理并还原为原始字符串，并从原始字符串中提取目标请求字段；

按照XSS规则对目标请求字段进行匹配检测；

利用fastText建模，对目标请求字段进行推断和预测；

对XSS规则下的检测结果和fastText模型下的推断预测结果进行“或”运算，得出最终检测结果。

2.根据权利要求1所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于，所述的数据预处理包括如下过程：

检测对象字符串，若对象字符串采用URL、Base或HTML进行编码则对应进行解码，并从解码后得到的原始字符串并提取目标请求字段；若对象字符串未编码则直接提取目标请求字段。

3.根据权利要求2所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于：

还包括继续检测目标请求字段，若目标请求字段设置递归编码，则继续对目标请求字段进行解码处理；若目标请求字段未设置递归编码，则不进行解码处理。

4.根据权利要求1所述的基于改进fastText的跨站脚本攻击检测方法，所述的利用fastText建模，对目标请求字段进行推断和预测，其特征在于：

将目标字符串作为语句处理且进行解码和分词，在分词后构建字典映射矩阵，字典映射矩阵包括词嵌入矩阵和多元字符嵌入矩阵，每个目标请求字段映射至词嵌入矩阵并作为词向量；每个目标请求字段分解出来的多元字符映射至多元字符嵌入矩阵并作为词向量，多元字符嵌入矩阵采用哈希桶对所有多元字符进行映射，映射至同一个哈希桶内的多元字符共享一个嵌入向量。

5.根据权利要求4所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于：将目标字符串进行分词处理得到若干词向量，词向量经过相互组合叠加可构建新的词向量，其中采用如下函数表示词向量x_w

同时采用如下函数表示语句向量x_s

其中，g代表gram，w代表word，x_g代表多元字符向量，s表示sentence，|s|表示s中word的数量。

6.根据权利要求5所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于：

构建语句时，以词嵌入矩阵中的词向量和多元字符嵌入矩阵中的词向量共同作为输入信息，通过叠加平均处理将部分隐藏向量加入隐藏层，最终得到输出语句，且多个输出语句通过分层逻辑模型进行分类。

7.根据权利要求6所述的基于改进fastText的跨站脚本攻击检测方法，所述的多个输出语句通过分层逻辑模型进行分类，其特征在于：

给定输入语句s，估算其每一个类别l的概率采用如下方法对语句进行二分类

其中，v_l为目标向量，为语句经过fastText模型隐藏层之后的转置向量，k代表第几类。

8.根据权利要求7所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于，计算两个向量之间的点积并压缩至0～1，其中按照如下方法确定损失：

其中，y_s为语句标签，x_s是构建语句时的输入信息，A和B为连接输入信息与隐藏层之间的矩阵，f即为p(l|s)。

9.根据权利要求8所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于，按照如下方式对损失确定方法进行正则化约束：

其中，θ(x)是单位阶跃函数：

y_s是用于判定真实攻击的真实标签，是预测概率，t为阈值且t∈(0，1)；对于预测值大于阈值t的正样本和预测值小于阈值1-t的负样本，模型不更新；对于预测值小于阈值t的正样本和预测值大于阈值1-t的负样本，模型更新。

10.根据权利要求9所述的基于改进fastText的跨站脚本攻击检测方法，其特征在于：

对于正样本y_s＝1，函数当预测值大于阈值t，则λ＝0，loss＝0；当预测值小于阈值t，则λ＝1，loss保持不变；

对于负样本y_s＝0，函数当预测值小于阈值1-t，则λ＝0，loss＝0；当预测值大于阈值1-t，则λ＝1，loss保持不变。