CN109960934A - 一种基于cnn的恶意请求检测方法 - Google Patents

Abstract

本发明公开了一种基于CNN的恶意请求检测方法，涉及信息安全技术领域，所述基于检测方法包括以下步骤：1)收集样本；2)数据预处理；3)构建CNN模型；4)部署模型；5)线上运行；6)后期维护。为了解决现有的恶意请求检测方法由于易出现信息丢失而导致恶意请求被漏查的问题，本发明通过采用字符嵌入技术将查询字符串的各个字符使用高维向量进行表示，进而使模型能更准确的表示各个字符在当前文本环境下的内在区别，能有效减少信息丢失，解决了现有的恶意请求检测方法由于易出现信息丢失而导致恶意请求被漏查的问题，具有广阔的应用前景。

Description

一种基于CNN的恶意请求检测方法

技术领域

本发明涉及信息安全技术领域，具体是一种基于CNN的恶意请求检测方法。

背景技术

随着网络的不断普及和Web服务种类的不断增加，Web服务站点的安全性也变得尤为重要。为了提高Web服务站点的安全性，通常需要对各种类型的恶意请求进行检测。

目前，针对恶意请求检测这一问题，实际使用的解决方案大多还是基于规则的黑名单检测机制，即通过正则等目标字符匹配技术过滤特定规则的非法字符串来达到检测恶意请求的目的。虽然这种方法能抵御绝大部分的恶意Web请求，但在使用过程中还是暴露了很多问题：第一，匹配恶意请求关键特征的规则需要人为总结，这种总结是基于经验的，需要非常了解各种类型恶意请求的人才能总结出适用的关键特征；第二，当规则较多时，规则库的维护成本是不可忽略的；第三，现在主流的目标字符匹配技术是正则匹配，而正则引擎是严重影响性能的，尤其是规则比较复杂时，这时就会造成不必要的时延，这对于Web服务商而言，也是不能接受的。

针对这种基于规则的黑名单检测机制的恶意请求检测方法的不足，有人提出一种基于SVM机器学习模型检测SQL注入攻击的方法(其中SQL注入攻击即为恶意Web请求的一种)，该方法根据模型预先设置的标识特征将用户的Web请求信息转化为一个数字化的特征向量，SVM模型以此特征向量作为输入，进而计算当前Web请求是SQL注入攻击的概率。

但是上述的技术方案在实际使用时还存在以下不足：该方法得到数字化的特征向量需通过预先设置的标识特征，但是由于标识特征的有限，此过程必然存在信息的丢失，进而导致一些未知的或者进行编码过的恶意请求被漏查。因此，设计一种基于CNN的恶意请求检测方法，成为目前亟需解决的问题。

发明内容

本发明的目的在于提供一种基于CNN的恶意请求检测方法，以解决上述背景技术中提出的现有的恶意请求检测方法由于易出现信息丢失而导致恶意请求被漏查的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于CNN的恶意请求检测方法，其特征在于，它包括以下步骤：

1)收集样本：收集需要检测的不同类型恶意请求的典型样本并得到样本数据，记录得到的样本数据和该数据所属的类型；

2)数据预处理：对样本数据进行预处理；

其中，所述预处理为整理不同类型恶意请求的样本数据并去除冗余数据和缺失数据，同时规范每条数据的格式；

3)构建CNN模型：将预处理后的样本数据进行提取查询字符串，通过字符嵌入将查询字符串的各个字符使用高维向量表示，然后通过卷积、池化来构建CNN模型；

通过使用独热编码将数字向量转化为张量，并用多个过滤器与其做纵向的卷积运算来得到多个大小不一样的特征向量，然后使用池化将这些特征向量转变为一个向量，最后通过Softmax函数计算一个恶意请求属于各类的概率；

4)部署模型：部署CNN模型到Web服务器，并建立相应的问题样本数据库和训练样本数据库；

所述问题样本数据库与训练样本数据库分别用于存放新发现的置信度较低的样本与训练样本；通过将构建的CNN模型文件拷贝到需使用的服务器上，并编写调用模型的程序，以供新的用户请求到达服务器后可及时调用；对于问题样本(即对模型输出结果置信度较低的样本)，还需编写程序将其存入数据库，待人工归类后，加入训练样本库，以便后续更新模型；

5)线上运行：接收用户请求并按照步骤2)的方法进行数据预处理，根据服务器的CNN模型对预处理后的数据进行计算并输出结果到Web服务器；

6)后期维护：定期查看问题样本数据库并检查是否含有异常样本；其中，所述异常样本可以为未知的恶意请求类型等，若检查出异常样本，则将异常样本进行归类后存入训练样本数据库，经线下训练后更新线上CNN模型，以保证线上CNN模型的实时性。

作为本发明进一步的方案：步骤1)中，所述典型样本为具备该类型恶意请求的典型特征的样本；所述收集可以采取多种方式，例如，采用网络爬虫、公开安全数据集等。

作为本发明再进一步的方案：步骤2)中，所述冗余数据包括重复的数据、主机信息和路径信息数据。

作为本发明再进一步的方案：步骤3)中，所述字符嵌入为基于神经网络嵌入层将每个字符用一个高维向量表示，即将字符嵌入到高维空间；由于恶意请求的字符串主要由字母，数字和特殊字符组成，所以只需将所有的字符用数字进行编码来用数字向量表示所有的恶意样本。

作为本发明再进一步的方案：步骤5)中，当CNN模型输出结果到web服务器后，若模型对当前请求的置信度低于预设的阈值，则记录当前请求和模型的输出结果并存储至相应的问题样本数据库。

与现有技术相比，本发明的有益效果是：

1、本发明的维护成本较低，通过采用字符嵌入技术将查询字符串的各个字符使用高维向量进行表示，同时通过训练样本的训练，进而使模型能更准确的表示各个字符在当前文本环境下的内在区别，能有效减少信息丢失，解决了现有的恶意请求检测方法由于易出现信息丢失而导致恶意请求被漏查的问题，同时具有较高的检测效率。

2、本发明在提取各个类型请求特征时，采用CNN模型中的过滤器与请求字符串的数字表示进行卷积运算，可以通过增加过滤器的数量和大小自动提取各个类型攻击的典型特征，而不需像传统方法一样去维护一个特征库，具有较强的自适应能力。

附图说明

图1为基于CNN的恶意请求检测方法的路线图。

图2为基于CNN的恶意请求检测方法中CNN模型的构建流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细地说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进。这些都属于本发明的保护范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

下面结合具体实施方式对本发明的技术方案作进一步详细地说明。

实施例1

一种基于CNN的恶意请求检测方法，请参考图1-2，具体包括以下步骤：

1)收集样本：收集需要检测的不同类型恶意请求的典型样本并得到样本数据；所述典型样本为具备该类型恶意请求的典型特征的样本，具有一定代表性；

具体的，将不同类型的恶意请求样本进行收集数千条并得到样本数据，收集手段可以采取多种方式，例如，采用网络爬虫、公开安全数据集等，记录得到的样本数据和该数据所属的类型；

2)数据预处理：对样本数据进行预处理；所述预处理为整理不同类型恶意请求的样本数据并去除冗余数据和缺失数据，同时规范每条数据的格式；

所述预处理包括去除数据中的域名信息等；其中，整理不同类型恶意请求的样本数据时，恶意请求及其所属类型为一条数据；

具体的，由于各个样本数据的来源可能不同，数据的质量也会不同，所以使用样本数据之前需去除冗余数据和一些未标注所属类型的数据(缺失数据)；

所述冗余数据包括重复的数据、主机信息和路径信息数据；Web请求包含很多部分，其中有主机部分、路径部分以及查询字符串，本实施例中使用的是查询字符串来构建CNN模型，所以主机信息和路径信息需要去除；

3)构建CNN模型：将预处理后的样本数据进行提取查询字符串，通过字符嵌入将查询字符串的各个字符使用高维向量表示，然后通过卷积、池化来构建CNN模型；其中，所述字符嵌入是基于神经网络嵌入层将每个字符用一个高维向量表示，即将字符嵌入到高维空间；

可以理解的，通过使用CNN模型来以数学的形式记录不同类型恶意请求的特征；通过Softmax函数计算一个恶意请求属于不同类型恶意请求的概率；所述构建CNN模型为使用不同类型恶意请求的典型样本训练初始模型，而训练过程即是由大量已知的类型样本通过反向传播算法计算模型参数的过程，具体如图2所示；

下面结合图2来描述构建CNN模型的过程：

首先，由于恶意请求的字符串主要由字母，数字和特殊字符组成，所以只需将所有的字符用数字进行编码，即可用数字向量表示所有的恶意样本；

例如，对于一个具体的恶意请求，可将其编码后的数字向量记作s，假设此恶意请求有n个字符，则s为一个n维向量；通过使用独热编码将s转化为S，S为一个n行、m列的张量，此处m为所有字符的数量；由***随机生成一个初始嵌入矩阵E(所述初始嵌入矩阵E的每个字符对应一个k维向量，所有字符的k维向量和构成一个m行k列的矩阵)，E为m行、k列的张量，其中k为嵌入空间的大小，属于***参数，在此处可取128，则可计算张量X＝S*E，X的大小为n行，k列；

其次，将得到的张量X用多个过滤器与X做纵向的卷积运算，所述过滤器本质上就是一个l行，k列的张量，初始的过滤器由***随机生成；

具体的，l可根据实际状况选取，l的不同表示过滤器的大小不同(过滤器本质就是矩阵，尺寸是l行、k列，k值在确定嵌入矩阵E时已确定下来，l在此可以根据实际情况取值，比如：取2，3或者5等等，不同的取值表示过滤器的尺寸不一样，以便提取不同大小的局部特征)，在使用过程中需要多个过滤器，现为方便表述，取F为其中一个过滤器，大小为l×k，那么F与X的卷积运算将得到一个特征向量y，具体计算方法如下：

其中，y_i为特征向量y的第i个值，所以i在[0，n-l]内取值；r、c为索引类变量；Relu函数是流行的激活函数，其数学表达式为：Relu(x)＝max(0，x)；

然后，由于使用多个过滤器，所以经过以上的卷积运算后，得到多个大小不一样的特征向量，将得到这些特征向量的个数记作p，可使用简单的池化(池化方式较多，这里取最大值池化，即取每个特征向量的最大值代表该向量，实现向量到数字的转变，此过程会有数据损失，但为增强模型的鲁棒性是必要的)将这些特征向量转变为一个向量z，z的具体计算方法为：其中，z_i为向量z的第i个值，yⁱ为多个特征向量中的第i个，t为索引类变量；

最后，通过向量z可计算当前恶意请求属于各类的概率，类型的数量记作c，用r_j表示当前请求属于第j类的概率，其中j≤c，则r_j的计算方法如下：

其中，w_i，j为此层神经网络中的权重，初始值由***随机初始化，而Softmax函数计算方法为：通过上述过程，一个恶意请求属于各类的概率即可算出，而训练过程即是由大量已知的类型样本通过反向传播算法计算模型参数的过程，此模型中需计算的参数有嵌入矩阵E，各个过滤器F和神经网络的权重参数w_i，j；

4)部署模型：部署CNN模型到Web服务器，并建立相应的问题样本数据库和训练样本数据库；其中，所述问题样本数据库与训练样本数据库分别用于存放新发现的置信度较低的样本与训练样本；

具体的，将构建的CNN模型文件拷贝到需使用的服务器上，并编写调用模型的程序，以供新的用户请求到达服务器后可及时调用。对于问题样本(即对模型输出结果置信度较低的样本)，还需编写程序将其存入数据库，待人工归类后，加入训练样本库，以便后续更新模型；

5)线上运行：接收用户请求并按照步骤2)的方法进行数据预处理，根据服务器的CNN模型对预处理后的数据进行计算并输出结果到Web服务器；

当CNN模型返回结果到web服务器后，如果模型对当前请求的置信度低于预设的阈值，则记录当前请求和模型的输出结果到相应的问题样本数据库；

6)后期维护：定期查看问题样本数据库并检查是否含有异常样本；

例如，所述异常样本可以为未知的恶意请求类型等。若检查出异常样本，则将异常样本进行归类后存入训练样本数据库，经线下训练后更新线上CNN模型，以保证线上CNN模型的实时性；由于在长期的运行过程中，可能出现新类型的恶意请求或者通过编码的方式隐藏恶意信息，这些情况都是初始的训练样本不曾出现的，导致模型无法做出准确的判断，导致输出的置信度不足，所以为了保证模型长期稳定的运行，需要从这些新出现的样本中挑选具有代表性的样本，并将这些样本添加到训练样本中来更新模型，以保证模型的新鲜度。

本实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现上述方法的步骤。

实施例2

一种基于CNN的恶意请求检测方法，请参考图1-2，首先收集需检测的各类恶意请求的典型样本作为训练样本，然后建立检测模型并用训练样本训练模型的参数；然后进行线上部署，处理线上请求的同时保存模型置信度较低的问题样本，待人工挑选这些问题样本后，将其加入训练样本，以便更新模型，使模型自适应攻击方法的改变，可用于解决现有检测方法维护成本较高、匹配方法效率较低和自适应能力不强的问题。

具体的，所述基于CNN的恶意请求检测方法包括以下步骤：

1)收集样本：收集需要检测的不同类型恶意请求的典型样本并得到样本数据，记录得到的样本数据和该数据所属的类型；所述典型样本为具备该类型恶意请求的典型特征的样本；所述收集可以采取多种方式，例如，采用网络爬虫、公开安全数据集等；

2)数据预处理：对样本数据进行预处理；其中，所述预处理为整理不同类型恶意请求的样本数据并去除冗余数据和缺失数据，同时规范每条数据的格式；

3)构建CNN模型：将预处理后的样本数据进行提取查询字符串，通过字符嵌入将查询字符串的各个字符使用高维向量表示，然后通过卷积、池化来构建CNN模型；

所述字符嵌入为基于神经网络嵌入层将每个字符用一个高维向量表示，即将字符嵌入到高维空间；由于恶意请求的字符串主要由字母，数字和特殊字符组成，所以只需将所有的字符用数字进行编码来用数字向量表示所有的恶意样本；

通过使用独热编码将数字向量转化为张量，并用多个过滤器与其做纵向的卷积运算来得到多个大小不一样的特征向量，然后使用池化将这些特征向量转变为一个向量，最后通过Softmax函数计算一个恶意请求属于各类的概率；

4)部署模型：部署CNN模型到Web服务器，并建立相应的问题样本数据库和训练样本数据库；

所述问题样本数据库与训练样本数据库分别用于存放新发现的置信度较低的样本与训练样本；通过将构建的CNN模型文件拷贝到需使用的服务器上，并编写调用模型的程序，以供新的用户请求到达服务器后可及时调用；对于问题样本(即对模型输出结果置信度较低的样本)，还需编写程序将其存入数据库，待人工归类后，加入训练样本库，以便后续更新模型；

5)线上运行：接收用户请求并按照步骤2)的方法进行数据预处理，根据服务器的CNN模型对预处理后的数据进行计算并输出结果到Web服务器；

当CNN模型返回结果到web服务器后，如果模型对当前请求的置信度低于预设的阈值，则记录当前请求和模型的输出结果到相应的问题样本数据库；

6)后期维护：定期查看问题样本数据库并检查是否含有异常样本；若检查出异常样本，则将异常样本进行归类后存入训练样本数据库，经线下训练后更新线上CNN模型，以保证线上CNN模型的实时性；由于在长期的运行过程中，可能出现新类型的恶意请求或者通过编码的方式隐藏恶意信息，这些情况都是初始的训练样本不曾出现的，导致模型无法做出准确的判断，导致输出的置信度不足，所以为了保证模型长期稳定的运行，需要从这些新出现的样本中挑选具有代表性的样本，并将这些样本添加到训练样本中来更新模型，以保证模型的新鲜度。

本发明有益效果是，本发明的维护成本较低，通过采用字符嵌入技术将查询字符串的各个字符使用高维向量进行表示，同时通过训练样本的训练，进而使模型能更准确的表示各个字符在当前文本环境下的内在区别，能有效减少信息丢失，解决了现有的恶意请求检测方法由于易出现信息丢失而导致恶意请求被漏查的问题，同时具有较高的检测效率；

本发明在提取各个类型请求特征时，采用CNN模型中的过滤器与请求字符串的数字表示进行卷积运算，可以通过增加过滤器的数量和大小自动提取各个类型攻击的典型特征，而不需像传统方法一样去维护一个特征库，具有较强的自适应能力；

本发明可适用于Web服务提供商对海量用户请求中的恶意请求的检测和防御，根据不同的检测结果，Web服务器采取不同的应对措施以提供更为安全的服务。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为随机存储器、闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等。

上面对本发明的较佳实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域的普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明的保护范围之中。

Claims (5)

1.一种基于CNN的恶意请求检测方法，其特征在于，它包括以下步骤：

1)收集样本：收集需要检测的不同类型恶意请求的典型样本并得到样本数据；

2)数据预处理：对样本数据进行预处理；其中，所述预处理为去除冗余数据和缺失数据，同时规范每条数据的格式；

3)构建CNN模型：将预处理后的样本数据进行提取查询字符串，通过字符嵌入将查询字符串的各个字符使用高维向量表示，然后通过卷积、池化来构建CNN模型；

4)部署模型：部署CNN模型到Web服务器，并建立相应的问题样本数据库和训练样本数据库；

5)线上运行：接收用户请求并按照步骤2)的方法进行数据预处理，根据服务器的CNN模型对预处理后的数据进行计算并输出结果到Web服务器；

6)后期维护：定期查看问题样本数据库并检查是否含有异常样本。

2.根据权利要求1所述的基于CNN的恶意请求检测方法，其特征在于，步骤1)中，所述典型样本为具备该类型恶意请求的典型特征的样本。

3.根据权利要求2所述的基于CNN的恶意请求检测方法，其特征在于，步骤2)中，所述冗余数据包括重复的数据、主机信息和路径信息数据。

4.根据权利要求2所述的基于CNN的恶意请求检测方法，其特征在于，步骤3)中，所述字符嵌入为基于神经网络嵌入层将每个字符用一个高维向量表示。

5.根据权利要求1-4任一所述的基于CNN的恶意请求检测方法，其特征在于，当CNN模型输出结果到web服务器后，若模型对当前请求的置信度低于预设的阈值，则记录当前请求和模型的输出结果并存储至相应的问题样本数据库。