【技术实现步骤摘要】
本专利技术涉及网络,尤其涉及一种基于深度学习的web攻击端到端检测方法、系统及介质。
技术介绍
1、web应用程序已经成为现代社会和商业活动中不可缺少的一部分,但同时也伴随着安全威胁的增加,使得web应用程序安全成为人们关注的研究热点。随着网络攻击的数量和复杂程度的增加,使得web攻击检测面临着一系列挑战和复杂性,如:(1)攻击者采用多种多样的手段和策略,包括但不限于sql(structured query language)注入、跨站脚本攻击(xss,cross site scripting)、跨站请求伪造(csrf,cross-site request forgery)等。这多样性使得单一的检测方法很难覆盖所有攻击类型,要求检测系统能够识别不同手段的变种,以确保全面的攻击覆盖。(2)攻击者倾向于采用隐蔽的方式来规避检测,例如使用加密通信、混淆攻击流量、或模仿正常用户行为。这使得检测系统面临更大的挑战,需要不仅能够识别常见攻击模式,还需具备对抗隐蔽和欺骗性攻击的能力。(3)传统的web攻击检测方法往往依赖静态规则,这些规则基于已知的攻击特征。然而,静态规则存在固有的局限性,无法适应新型攻击和零日漏洞的出现。攻击者可以通过修改攻击载荷或采用变种攻击方式来规避这些静态规则,使得检测系统容易受到攻击。(4)传统的检测方法往往存在漏报(未能检测到实际的攻击)和误报(将正常流量错误地标记为攻击)的问题。这可能导致系统在面对真实攻击时无法做出及时反应,或者对合法用户产生不必要的干扰。近年来,web攻击检测领域被更多的学者所注意到,针对以上
2、常见的算法模型为机器学习模型和深度学习模型,如knn(k-nearestneighbors)、dt(decision tree)和nb(naive bayes)模型等机器学习模型或者针对特定攻击类型的检测的cnn模型、rnn模型和lstm神经网络模型等。但是现有技术在web攻击端到端检测时,并没有考虑url与有效载荷之间的链接关系,也没有考虑有效载荷之间的局部和组合关系,导致现有检测方法无法全面识别各种潜在威胁。
技术实现思路
1、本专利技术实施例提供一种基于深度学习的web攻击端到端检测方法、系统及介质,同时考虑url与有效载荷之间的链接关系、有效载荷之间的局部和组合关系,提高检测识别的准确性和全面性。
2、第一方面,本专利技术实施例提供了基于深度学习的web攻击端到端检测方法,包括:
3、获取待检测的第一http请求;
4、对所述第一http请求进行字符嵌入处理,获得第一字符嵌入矩阵,并根据预设的扁平层和dfnn网络,对所述第一字符嵌入矩阵进行编码处理,获得所述第一http请求对应的第一url词特征矩阵;
5、根据预设的词频字典,生成所述第一http请求对应的第一词频矩阵,并根据预设的cnn编码层,生成所述第一词频矩阵对应的第一有效载荷词特征矩阵;其中,所述cnn编码层用于学习有效载荷的局部和组合关系;
6、将所述第一url词特征矩阵和所述第一有效载荷词特征矩阵输入至预设的bi-lstm分类模型,以使所述bi-lstm分类模型对所述第一url词特征矩阵和所述第一有效载荷词特征矩阵进行拼接,获得第一拼接特征矩阵,并对所述第一拼接特征矩阵进行自注意力权重计算,继而根据计算结果,识别所述第一http请求为正常请求或者恶意请求。
7、本专利技术实施例对于待检测的http请求,通过dffn分支学习url的词特征,通过cnn分支学习有效载荷的组合关系和局部关系,从而分别获得url词特征矩阵和有效载荷词特征矩阵,再通过url词特征矩阵和有效载荷词特征矩阵依次连接,作为具有自关注机制的bi-lstm的输入矩阵,捕获url和有效载荷之间复杂的链接关系,输出检测结果。相比于现有技术无法全面识别潜在威胁,本专利技术实施例采用混合神经网络的方法,同时考虑url与有效载荷之间的链接关系、有效载荷之间的局部和组合关系,提高检测识别的准确性和全面性。
8、作为本实施例的优选,所述对所述第一http请求进行字符嵌入处理,获得第一字符嵌入矩阵,具体为:
9、对所述第一http请求进行预处理,剔除第一http请求的标头;
10、根据预设的字符统计词典和预训练的glove-50d词嵌入向量,对预处理后的第一http请求进行字符嵌入,生成第一字符嵌入矩阵。
11、本优选例子,由于http请求的行标头通常都是统一的,剔除标头后再对url进行编码,提高编码准确性。其次采用预设的字符统计词典将http请求进行转换,将http请求中的非标准单词表示为向量形式,利用预训练的glove-50d词嵌入向量信息丰富每个字符的语义信息,这样在即使在有限数据集的情况下,也能更有效地捕获每个词的语义关系。这一步骤对于提高深度学习模型(dfnn)对url数据的理解和表达能力至关重要,从而提高检测准确性。
12、作为本实施例的优选,所述根据预设的扁平层和dfnn网络,对所述第一字符嵌入矩阵进行编码处理,获得所述第一http请求对应的第一url词特征矩阵,具体为:
13、根据单词编码层对所述第一字符嵌入矩阵进行编码处理,捕获所述第一字符嵌入矩阵中以预设分割字符进行分割的单词的特征,获得所述第一url词特征矩阵;
14、其中,所述单词编码层由所述扁平层和dfnn网络组成,所述dfnn网络的每个隐藏层之后使用relu函数作为激活函数,用于根据url中单词的平均长度,将dfnn网络得到的输出向量调整为预设尺寸的矩阵。
15、在本优选中,通过引入结合扁平层和dfnn的单词编码层,能够更好地捕获以预设分割字符(如以"/"分隔)的单词的特征,形成最终的url的单词特征矩阵。这种处理过程使得模型更具有适应性,能够更准确地理解和表示非标准单词组成的url数据,进一步提高检测准确性。
16、作为本实施例的优选,所述根据预设的词频字典,生成所述第一http请求对应的第一词频矩阵,具体为:
17、根据所述词频字典,将所述第一http请求转换为与所述词频字典大小相同的二维数组,获得所述第一词频矩阵;
18、其中,所述词频字典是根据bow模型对训练样本中的有效负载在整个训练样本中的出现频次进行计算,并将出现频次与有效负载进行配对而生成。
19、在本优选例子中,为了解决解决http请求中有效载荷无序性的问题,利用词袋(bow)技术将有效负载表示为特征向量,该表示不依赖于单词的顺序,而是基于它们的出现频率,因此更好地考虑了无序性。
20、作为本实施例的优选,所述cnn编码层设置有两个叠加的卷积层,用于提取词频矩阵的代表性特征,学习有效载荷的局部和组合关系;
21、在每个卷积层之后设置有最大池化层和relu激活函数,并通过扁平层和全连接网络对输出结果进行处理,生成有效载荷词本文档来自技高网...
【技术保护点】
1.一种基于深度学习的Web攻击端到端检测方法,其特征在于,包括:
2.根据权利要求1所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述对所述第一HTTP请求进行字符嵌入处理,获得第一字符嵌入矩阵,具体为:
3.根据权利要求2所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述根据预设的扁平层和DFNN网络,对所述第一字符嵌入矩阵进行编码处理,获得所述第一HTTP请求对应的第一URL词特征矩阵,具体为:
4.根据权利要求1所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述根据预设的词频字典,生成所述第一HTTP请求对应的第一词频矩阵,具体为:
5.根据权利要求4所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述CNN编码层设置有两个叠加的卷积层,用于提取词频矩阵的代表性特征,学习有效载荷的局部和组合关系;
6.根据权利要求1所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述Bi-LSTM分类模型对所述第一URL词特征矩阵和所述第一有效载荷词特征矩阵进行拼接,获得第
7.根据权利要求6所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述Bi-LSTM分类模型对所述第一拼接特征矩阵进行自注意力权重计算,具体为:
8.根据权利要求7所述的基于深度学习的Web攻击端到端检测方法,其特征在于,所述根据计算结果,识别所述第一HTTP请求为正常请求或者恶意请求,具体为:
9.一种基于深度学习的Web攻击端到端检测系统,其特征在于,包括:获取模块、第一矩阵生成模块、第二矩阵生成模块和检测模块;
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至8中任意一项所述的基于深度学习的Web攻击端到端检测方法。
...【技术特征摘要】
1.一种基于深度学习的web攻击端到端检测方法,其特征在于,包括:
2.根据权利要求1所述的基于深度学习的web攻击端到端检测方法,其特征在于,所述对所述第一http请求进行字符嵌入处理,获得第一字符嵌入矩阵,具体为:
3.根据权利要求2所述的基于深度学习的web攻击端到端检测方法,其特征在于,所述根据预设的扁平层和dfnn网络,对所述第一字符嵌入矩阵进行编码处理,获得所述第一http请求对应的第一url词特征矩阵,具体为:
4.根据权利要求1所述的基于深度学习的web攻击端到端检测方法,其特征在于,所述根据预设的词频字典,生成所述第一http请求对应的第一词频矩阵,具体为:
5.根据权利要求4所述的基于深度学习的web攻击端到端检测方法,其特征在于,所述cnn编码层设置有两个叠加的卷积层,用于提取词频矩阵的代表性特征,学习有效载荷的局部和组合关系;
6.根据权利要求1所述的基于深度学习的w...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。