本申请公开了一种Web攻击检测方法及装置、电子设备,该方法包括:解析web访问日志中的http请求信息,确定每个http请求信息的访问信息;对访问信息进行分片获得若干个分片文本并按照预设顺序确定每个分片文本的分片号,对每个分片文本进行预处理确定第一词向量;将每个第一词向量输入预先训练的翻译模型中确定第二词向量;基于第一词向量、第二词向量,确定访问信息的bleu评分,并基于bleu评分与阈值确定访问信息中是否具有攻击载荷;确定携带攻击载荷的第一词向量对应的分片号,并将第一词向量输入预先训练的攻击载荷分类模型中。以此解决现有在对Web攻击检测和识别,无法准确检测出未知攻击以及无法准确定位到攻击载荷位置的问题。
【技术实现步骤摘要】
所属的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。在一些可能的实施方式中,根据本申请的电子设备可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的web攻击检测方法中的步骤。下面参照图6来描述根据本申请的这种实施方式的电子设备130,即上述web攻击检测设备。图6显示的电子设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。如图6所示,电子设备130以通用电子设备的形式表现。电子设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(ram)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(rom)1323。存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。电子设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与电子设备130交互的设备通信,和/或与使得该电子设备130能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口135进行。并且,电子设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于电子设备130的其它模块通信。应当理解,尽管图中未示出,可以结合电子设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。在一些可能的实施方式中,本申请提供的一种web攻击检测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种web攻击检测方法的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。本申请的实施方式的用于监控的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码,并可以在电子设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、rf等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如java、c++等,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务端上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和方框图来描述的。应理解可由计算机程序指令实现流程图和方框图中的每一流程和/或方框、以及流程图和方框图中的流程和方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则本文档来自技高网...
【技术保护点】
1.一种Web攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述翻译模型通过下述方式训练,包括:
3.根据权利要求2所述的方法,其特征在于,所述阈值通过下述方式确定:
4.根据权利要求1所述的方法,其特征在于,所述基于所述第一词向量、所述第二词向量,通过词组重合度算法确定所述访问信息的bleu评分,包括:
5.根据权利要求1~4任一所述的方法,其特征在于,所述攻击载荷分类模型通过下述方式训练:
6.一种Web攻击检测装置,其特征在于,所述装置包括:
7.根据权利要求6所述的装置,其特征在于,所述确定第二词向量模块还用于通过下述方式训练所述翻译模型:解析web访问日志中的历史http请求信息,确定每个所述历史http请求信息对应的访问信息;基于预设的访问信息与攻击载荷的对应关系,确定所述访问信息中包含攻击载荷的非正常访问信息和正常访问信息;对任一所述正常访问信息进行分片获得若干个分片训练文本,并对每个所述分片训练文本进行预处理确定每个所述分片训练文本对应的训练词向量;将所述训练词向量作为训练样本依次输入所述基础翻译模型,对所述基础翻译模型进行迭代训练至交叉熵损失函数值收敛,得到翻译模型。
8.根据权利要求6所述的装置,其特征在于,所述第一确定模块通过下述方式确定阈值:
9.一种电子设备,其特征在于,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-5中任何一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序用于使计算机执行如权利要求1-5中任何一项所述的方法。
...
【技术特征摘要】
1.一种web攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述翻译模型通过下述方式训练,包括:
3.根据权利要求2所述的方法,其特征在于,所述阈值通过下述方式确定:
4.根据权利要求1所述的方法,其特征在于,所述基于所述第一词向量、所述第二词向量,通过词组重合度算法确定所述访问信息的bleu评分,包括:
5.根据权利要求1~4任一所述的方法,其特征在于,所述攻击载荷分类模型通过下述方式训练:
6.一种web攻击检测装置,其特征在于,所述装置包括:
7.根据权利要求6所述的装置,其特征在于,所述确定第二词向量模块还用于通过下述方式训练所述翻译模型:解析web访问日志中的历史http请求信息,确定每个所述历史http请求信息对应的访问信息;基于预设的访问信息与攻击载荷的对应关系,确定所述访问信息...
【专利技术属性】
技术研发人员:燕妮,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。