[发明专利]基于HTTP请求文本的Web攻击检测方法及相关设备

说明书

本公开提供一种基于HTTP请求文本的Web攻击检测方法及相关设备。所述方法包括：获取网络流量中的HTTP请求文本；对所述HTTP请求文本进行预处理，以生成编码向量；利用预先训练好的记忆聚焦处理神经网络(MFPNN)模型，对所述编码向量进行检测，以得到预测向量，其中，所述MFPNN模型是通过将双向长短期记忆(BiLSTM)神经网络模型与多头注意力机制结合而构建的；基于所述预测向量进行计算，得到Web攻击的分类结果。本公开的实施例可以提高Web攻击检测的准确率和真阳性率。

技术领域

本公开涉及网络安全技术领域，尤其涉及一种基于HTTP(Hyper Text TransferProtocol，超文本传输协议)请求文本的Web(万维网)攻击检测方法及相关设备。

背景技术

严重的网络攻击，常常会带来灾难性的数据泄露和丢失，为了阻断Web应用程序受到的攻击，首要任务是能够精准地检测出Web攻击。传统的深度学习检测模型的信息记忆能力和聚焦处理能力不强，导致检测的准确率和真阳性率不高；而且通常选用URL(统一资源定位符)数据作为输入数据，可能会遗漏攻击载荷，影响模型的准确率和真阳性率。

发明内容

有鉴于此，本公开的目的在于提出一种基于HTTP请求文本的Web攻击检测方法及相关设备。

本公开的第一方面，提供了一种基于HTTP请求文本的Web攻击检测方法，包括：获取网络流量中的HTTP请求文本；对所述HTTP请求文本进行预处理，以生成编码向量；利用预先训练好的MFPNN(Memory focus processing neural network，记忆聚焦处理神经网络)模型，对所述编码向量进行检测，以得到预测向量，其中，所述MFPNN模型是通过将BiLSTM(Bi-directional Long Short-Term Memory，双向长短期记忆)神经网络模型与多头注意力机制结合而构建的；基于所述预测向量进行计算，得到Web攻击的分类结果。

可选地，所述对所述HTTP请求文本进行预处理，以生成编码向量，包括：基于语料库词典，按照预处理规则对所述HTTP请求文本进行预处理，以生成整数编码向量，其中，所述语料库词典包括专家词典、通用高频词典、数据集高频词典、特殊字符和占位符。

可选地，所述基于语料库词典，按照预处理规则对所述HTTP请求文本进行预处理，以生成整数编码向量，包括：对所述HTTP请求文本进行统一资源定位符URL解码，以获得普通文本；通过使用所述语料库词典中的特殊字符作为分隔符，对所述普通文本进行分词处理；基于所述语料库词典和所述预处理规则，对经过分词处理的所述普通文本进行关键词处理，以生成预设长度的关键词文本；通过将所述关键词文本中的每个关键词替换为所述语料库词典中与该关键词相应的数值，生成所述整数编码向量。

可选地，所述MFPNN模型包括嵌入矩阵、记忆分析模块、聚焦处理模块以及融合计算模块；所述嵌入矩阵是基于word2vec模型而获得的；所述记忆分析模块包括依次串联的多个BiLSTM神经网络模型和第一全连接层；所述聚焦处理模块包括依次串联的多个多头注意力层和一个Reshape层；所述融合计算模块包括级联的第二全连接层和第三全连接层。

可选地，每个所述多头注意力层包括多头注意力子层和全连接前馈网络子层，所述多头注意力子层和所述全连接前馈网络子层各自的周围使用残差连接。

可选地，所述利用预先训练好的MFPNN模型，对所述编码向量进行检测，以得到所述预测向量，包括：通过所述嵌入矩阵，将所述整数编码向量变换成相同的第一词嵌入向量矩阵和第二词嵌入向量矩阵；将所述第一词嵌入向量矩阵输入所述记忆分析模块，以得到第一特征向量；将所述第二词嵌入向量矩阵加上位置编码后输入所述聚焦处理模块，以得到第二特征向量；将所述第一特征向量和所述第二特征向量输入所述融合计算模块，以得到所述预测向量。

可选地，所述基于所述预测向量进行计算包括：基于所述预测向量，利用argmax函数进行计算。