本发明专利技术公开了一种基于负载级别图注意力网络的攻击流量分类方法和装置,所述方法包括:解析攻击流量中的HTTP协议请求,将解析得到的请求负载分割为若干子字段;构建流量负载图;使用图神经网络模型对所述流量负载图中节点的初始编码进行更新,并基于更新结果的邻接矩阵,得到所述攻击流量的分类结果。本发明专利技术实现了web攻击流量检测。现了web攻击流量检测。现了web攻击流量检测。
【技术实现步骤摘要】
基于负载级别图注意力网络的攻击流量分类方法和装置
[0001]本专利技术属于网络流量管理领域,涉及网络流量攻防对抗技术,具体涉及一种基于负载级别图注意力网络的攻击流量分类方法和装置。
技术介绍
[0002]随着互联网技术的高速迭代和计算能力的不断提升,更加高效的B/S架构在互联网中的占比越来越高。越来越多的内容提供商选择将服务部署在web页面,以替代原有的应用程序。除了传统的网页,各类API和小程序也成为新的流量来源,更多的流量入口和调用方式在提高web应用开发效率的同时也带来了更复杂的安全问题。一些恶意攻击者通过研究web技术,提出了各种攻击手段,如跨站脚本攻击(XSS)、Structured Query Language(SQL)注入、远程代码执行、命令执行、目录遍历等。web攻击者通过利用这些攻击手段及web服务中存在的漏洞对网站及web应用进行恶意攻击、渗透,以窃取用户数据或破坏系统正常运行。在2020年仅针对金融机构就有超过736百万次web攻击被记录。web攻击作为最主流的网络攻击之一,攻击事件繁多且大多数攻击都会带来严重的隐私风险或经济损失。
[0003]为了规避上述恶意攻击,相关领域的研究人员进行了大量的研究。许多学者从加强web应用服务的自身系统安全的角度出发提出了反向代理、SSL校验等技术,但是这类防御手段严重依赖web安全专家知识成本高且无法应对变化的攻击手段。因此,更多的研究者关注从应用层流量负载检测web攻击。传统的web应用防火墙(WAF)应用正则表达式从流量请求中匹配敏感字段进行误用检测。考虑到单一正则表达式的表达能力不足以匹配愈加复杂的web攻击负载形式,研究者开始通过构建攻击特征数据库来检测已知攻击。但这种方式需要不断地对攻击特征数据库进行更新以适应新的攻击技术和漏洞类型,这种滞后性给系统安全带来隐患。
[0004]随着人工智能技术的流行,将其应用于web攻击流量检测成为研究的热点。这类方法大致可分为两类,基于人工特征提取的方法以及端到端的方法。基于人工特征提取的方法利用专家经验从可疑流量请求中提取特征并将其数值化后送入传统机器学习模型得到判断结果。常见的方法包括从请求头部个字段提取统计特征、n
‑
gram词频特征等。这类方法基于专家先验知识提取将流量转化为数值化特征,面临无法全面、深层次的获得流量中的信息、应对流量形式变化鲁棒性差、预处理阶段耗时较长等问题。另外,这类方法的检测性能受传统机器学习的模型分类能力限制。近年来,随着深度学习被广泛运用到web攻击检测研究中,端到端的方法显示出更强的检测能力及泛化性能,无需应对新的攻击方式设计新的特征。研究者开始将请求中的URI字段等视为字符串本文,尝试引入自然语言处理(NLP)技术挖掘其内的语义信息。TextCNN、BiLSTM、Transformer等模型相继被用于此类问题。但这类方法将URI或请求中其他字段视作非结构化的文本进行特征提取,而忽略了web攻击流量请求所固有的非顺序的键值对依赖关系。
技术实现思路
[0005]本专利技术的目的在于提供基于负载级别图注意力网络的攻击流量分类方法和装置,该方法通过为每一个请求形成图,实现了web攻击流量检测。
[0006]本专利技术的
技术实现思路
包括:
[0007]一种基于负载级别图注意力网络的攻击流量分类方法,所述方法包括:
[0008]解析攻击流量中的HTTP协议请求,将解析得到的请求负载分割为若干子字段;其中,所述请求负载包括:请求URI和请求体;
[0009]构建流量负载图;其中,所述流量负载图中的节点包括:所述子字段对应的节点和一个表示请求体内容的公共节点,所述流量负载图中的边基于所述子字段在请求负载中的上下文邻接关系和逻辑结构关系获取,所述子字段对应的节点的初始编码是通过对所述子字段数值化得到,所述公共节点的初始编码以全0向量进行初始数值化表示,所述节点的权重根据所述子字段的全局词频信息以及所述子字段在当前负载中的出现频率计算;
[0010]使用图神经网络模型对所述流量负载图中节点的初始编码进行更新,并基于更新结果的邻接矩阵,得到所述攻击流量的分类结果。
[0011]进一步地,所述解析攻击流量中的HTTP协议请求,将解析得到的请求负载分割为若干子字段,包括:
[0012]解析攻击流量中的HTTP协议请求,得到请求负载;其中,所述请求负载包括:请求URI和请求内容;
[0013]解码所述请求负载;其中,所述解码的方法包括使用URI解码和HTML实体解码方法对URL和HTML实体进行解码,和使用base64解码、unicode解码以及String.fromCharCode()对JS代码中变量或函数语句进行解码中的一种或多种;
[0014]对解码后负载进行数据泛化;
[0015]对泛化后负载进行字段分割,以得到若干子字段。
[0016]进一步地,所述对解码后的负载进行数据泛化,包括:
[0017]使用正则表达式识别解码后负载中的IP、域名以及端口;
[0018]使用特定的抽象模式替换IP、域名以及端口中的值;
[0019]将解码后负载中的剩余值替换为0。
[0020]进一步地,所述子字段包括:请求URI子片段、请求key子片段和请求value子片段。
[0021]进一步地,所述流量负载图中的边,包括:
[0022]基于请求负载中的逻辑结构关系构建的请求key子片段对应的节点与请求value子片段对应的节点之间的边;
[0023]和,
[0024]基于请求负载中的上下文邻接关系构建的请求URI子片段对应的节点与该请求URI子片段相邻子片段对应的节点之间的边;
[0025]和,
[0026]基于请求负载中的上下文邻接关系构建的请求value子片段对应的节点与该请求value子片段相邻子片段对应的节点之间的边;
[0027]和,
[0028]公共节点与时间维度上最后一个请求URI子片段对应的节点之间的边;
[0029]和,
[0030]公共节点与请求key子片段对应的节点之间的边。
[0031]进一步地,所述节点的初始编码是通过对所述子字段数值化得到,包括:
[0032]在全局流量负载语料库上预训练Glove模型;
[0033]利用预训练的Glove模型对每一个节点进行数值化编码,得到所述节点的初始编码。
[0034]进一步地,所述节点的权重根据所述子字段的全局词频信息以及所述子字段在当前负载中的出现频率计算,包括:
[0035]预训练TF
‑
IDF模型;
[0036]将所述子字段输入预训练的TF
‑
IDF模型,以使所述预训练的TF
‑
IDF模型根据述子字段的全局词频信息和当前负载中的出现频率,计算该节点在所属图中的权重。
[0037]一种基于负载级别图注意力网络的攻击流量分类装置,所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于负载级别图注意力网络的攻击流量分类方法,其特征在于,所述方法包括:解析攻击流量中的HTTP协议请求,将解析得到的请求负载分割为若干子字段;其中,所述请求负载包括:请求URI和请求体;构建流量负载图;其中,所述流量负载图中的节点包括:所述子字段对应的节点和一个表示请求体内容的公共节点,所述流量负载图中的边基于所述子字段在请求负载中的上下文邻接关系和逻辑结构关系获取,所述子字段对应的节点的初始编码是通过对所述子字段数值化得到,所述公共节点的初始编码以全0向量进行初始数值化表示,所述节点的权重根据所述子字段的全局词频信息以及所述子字段在当前负载中的出现频率计算;使用图神经网络模型对所述流量负载图中节点的初始编码进行更新,并基于更新结果的邻接矩阵,得到所述攻击流量的分类结果。2.如权利要求1所述的方法,其特征在于,所述解析攻击流量中的HTTP协议请求,将解析得到的请求负载分割为若干子字段,包括:解析攻击流量中的HTTP协议请求,得到请求负载;其中,所述请求负载包括:请求URI和请求内容;解码所述请求负载;其中,所述解码的方法包括使用URI解码和HTML实体解码方法对URL和HTML实体进行解码,和使用base64解码、unicode解码以及String.fromCharCode()对JS代码中变量或函数语句进行解码中的一种或多种;对解码后负载进行数据泛化;对泛化后负载进行字段分割,以得到若干子字段。3.如权利要求2所述的方法,其特征在于,所述对解码后的负载进行数据泛化,包括:使用正则表达式识别解码后负载中的IP、域名以及端口;使用特定的抽象模式替换IP、域名以及端口中的值;将解码后负载中的剩余值替换为0。4.如权利要求1所述的方法,其特征在于,所述子字段包括:请求URI子片段、请求key子片段和请求value子片段。5.如权利要求4所述的方法,其特征在于,所述流量负载图中的边,包括:基于请求负载中的逻辑结构关系构建的请求key子片段对应的节点与请求value子片段对应的节点之间的边;和,基于请求负载中的上下文邻接关系构建的请求URI子片段对应的节点与该请求URI子片段相邻子片段对应的节点之间的边;和,基于请求负载中的上下文邻接关系构建的请求value...
【专利技术属性】
技术研发人员:刘峰,鲍怀锋,王文,王强,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。