CN113965377A - 一种攻击行为检测方法及装置 - Google Patents

一种攻击行为检测方法及装置 Download PDF

Info

Publication number
CN113965377A
CN113965377A CN202111226985.6A CN202111226985A CN113965377A CN 113965377 A CN113965377 A CN 113965377A CN 202111226985 A CN202111226985 A CN 202111226985A CN 113965377 A CN113965377 A CN 113965377A
Authority
CN
China
Prior art keywords
detected
data
parameter domain
skip
gram
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111226985.6A
Other languages
English (en)
Inventor
杨鹤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111226985.6A priority Critical patent/CN113965377A/zh
Publication of CN113965377A publication Critical patent/CN113965377A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请提供一种攻击行为检测方法及装置,应用于网络安全领域,方法包括:获取待检测URL数据,并提取待检测URL数据中的待检测参数域字段;对待检测参数域字段进行预处理,以将待检测参数域字段转换为对应的待检测特征向量;将待检测特征向量输入预先训练好的攻击行为检测模型,得到待检测URL数据对应的攻击行为检测结果。在上述方案中,通过对待检测参数域字段进行预处理,从而将待检测参数域字段转换为对应的待检测特征向量,以利用攻击行为检测模型基于待检测特征向量进行攻击行为的检测。由于在检测的过程张直接针对URL数据中的参数域字段进行检测,因此可以提高检测的准确率。

Description

一种攻击行为检测方法及装置
技术领域
本申请涉及网络安全领域,具体而言,涉及一种攻击行为检测方法及装置。
背景技术
随着网络服务的日益普及,不法分子利用网络进行攻击的行为也日渐普遍。其中,不法分子采用的一种网络攻击的常用手段,就是在统一资源***(Uniform ResourceLocator,URL)数据的参数域中传入特殊参数,从而实现结构化查询语言(StructuredQuery Language,SQL)注入攻击、跨站脚本(Cross Site Scripting,XSS)攻击、信息泄露攻击等攻击行为。
现有技术中,一般采用黑名单、规则匹配、机器学习等检测方法对上述攻击行为进行检测。但是,采用上述多种检测方法的准确率较低。
发明内容
本申请实施例的目的在于提供一种攻击行为检测方法及装置,用以解决现有技术提供的检测方法准确率较低的技术问题。
第一方面,本申请实施例提供一种攻击行为检测方法,包括:获取待检测统一资源***URL数据,并提取所述待检测URL数据中的待检测参数域字段;对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量;将所述待检测特征向量输入预先训练好的攻击行为检测模型,得到所述待检测URL数据对应的攻击行为检测结果。在上述方案中,通过提取待检测URL数据中的待检测参数域字段,从而实现针对URL数据中的参数域字段的检测。其中,通过对待检测参数域字段进行预处理,从而将待检测参数域字段转换为对应的待检测特征向量,以利用攻击行为检测模型基于待检测特征向量进行攻击行为的检测。由于在检测的过程张直接针对URL数据中的参数域字段进行检测,因此可以提高检测的准确率。
在可选的实施方式中,所述对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量,包括:利用预先确定的skip-gram数据映射表将所述待检测参数域字段转换为待检测参数域映射数据;利用预先训练好的特征提取模型提取所述待检测参数域映射数据对应的待检测特征向量。在上述方案中,利用skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。此外,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
在可选的实施方式中,在所述获取待检测统一资源***URL数据之前,所述方法还包括:获取样本数据;其中,所述样本数据包括正样本数据以及负样本数据,所述正样本数据包括正常参数域字段,所述负样本数据包括非正常参数域字段;对所述样本数据进行预处理,以将所述样本数据转换为对应的样本特征向量;利用所述样本特征向量对随机森林算法模型进行训练,得到所述攻击行为检测模型。在上述方案中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
在可选的实施方式中,所述利用所述样本特征向量对随机森林算法模型进行训练,得到所述攻击行为检测模型,包括:利用自助法对所述样本特征向量进行随机有放回采样,生成n个训练集;其中,n为大于零的正整数;利用所述n个训练集分别训练n个决策树模型,得到n个训练好的决策树模型;根据所述n个训练好的决策树模型组成所述攻击行为检测模型。在上述方案中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
在可选的实施方式中,在所述获取样本数据之后,所述方法还包括:根据URL参数域字段生成对应的字符表;利用所述字符表以及所述样本数据对skip-gram编码器进行训练,得到训练后的skip-gram编码器;根据所述skip-gram编码器生成所述skip-gram数据映射表。在上述方案中,利用skip-gram编码器生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
在可选的实施方式中,在所述获取样本数据之后,所述方法还包括:将所述样本数据输入预先训练好的skip-gram编码器,得到样本向量;利用所述样本向量对skip-gram模型进行训练,得到训练后的skip-gram模型;根据所述skip-gram编码器以及所述skip-gram模型生成所述skip-gram数据映射表。在上述方案中,利用skip-gram编码器以及skip-gram模型生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
在可选的实施方式中,在所述获取样本数据之后,所述方法还包括:利用预先确定的skip-gram数据映射表将所述样本数据转换为样本映射数据;利用所述样本映射数据对卷积神经网络模型进行训练,得到所述特征提取模型。在上述方案中,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
第二方面,本申请实施例提供一种攻击行为检测装置,包括:第一获取模块,用于获取待检测统一资源***URL数据,并提取所述待检测URL数据中的待检测参数域字段;第一预处理模块,用于对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量;第一输入模块,用于将所述待检测特征向量输入预先训练好的攻击行为检测模型,得到所述待检测URL数据对应的攻击行为检测结果。在上述方案中,通过提取待检测URL数据中的待检测参数域字段,从而实现针对URL数据中的参数域字段的检测。其中,通过对待检测参数域字段进行预处理,从而将待检测参数域字段转换为对应的待检测特征向量,以利用攻击行为检测模型基于待检测特征向量进行攻击行为的检测。由于在检测的过程张直接针对URL数据中的参数域字段进行检测,因此可以提高检测的准确率。
在可选的实施方式中,所述第一预处理模块具体用于:利用预先确定的skip-gram数据映射表将所述待检测参数域字段转换为待检测参数域映射数据;利用预先训练好的特征提取模型提取所述待检测参数域映射数据对应的待检测特征向量。在上述方案中,利用skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。此外,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
在可选的实施方式中,所述攻击行为检测装置还包括:第二获取模块,用于获取样本数据;其中,所述样本数据包括正样本数据以及负样本数据,所述正样本数据包括正常参数域字段,所述负样本数据包括非正常参数域字段;第二预处理模块,用于对所述样本数据进行预处理,以将所述样本数据转换为对应的样本特征向量;第一训练模块,用于利用所述样本特征向量对随机森林算法模型进行训练,得到所述攻击行为检测模型。在上述方案中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
在可选的实施方式中,所述第一训练模块具体用于:利用自助法对所述样本特征向量进行随机有放回采样,生成n个训练集;其中,n为大于零的正整数;利用所述n个训练集分别训练n个决策树模型,得到n个训练好的决策树模型;根据所述n个训练好的决策树模型组成所述攻击行为检测模型。在上述方案中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
在可选的实施方式中,所述攻击行为检测装置还包括:第一生成模块,用于根据URL参数域字段生成对应的字符表;第二训练模块,用于利用所述字符表以及所述样本数据对skip-gram编码器进行训练,得到训练后的skip-gram编码器;第二生成模块,用于根据所述skip-gram编码器生成所述skip-gram数据映射表。在上述方案中,利用skip-gram编码器生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
在可选的实施方式中,所述攻击行为检测装置还包括:第二输入模块,用于将所述样本数据输入预先训练好的skip-gram编码器,得到样本向量;第三训练模块,用于利用所述样本向量对skip-gram模型进行训练,得到训练后的skip-gram模型;第三生成模块,用于根据所述skip-gram编码器以及所述skip-gram模型生成所述skip-gram数据映射表。在上述方案中,利用skip-gram编码器以及skip-gram模型生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
在可选的实施方式中,所述攻击行为检测装置还包括:转换模块,用于利用预先确定的skip-gram数据映射表将所述样本数据转换为样本映射数据;第四训练模块,用于利用所述样本映射数据对卷积神经网络模型进行训练,得到所述特征提取模型。在上述方案中,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第一方面所述的攻击行为检测方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如第一方面所述的攻击行为检测方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种攻击行为检测方法的流程图;
图2为本申请实施例提供的一种攻击行为检测装置的结构框图;
图3为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
发明人注意到,在针对URL数据进行的各种攻击行为中,基于URL参数域实现的SQL注入攻击方式以及XSS攻击方式占比较大且危害较高。对于URL数据中的SQL注入攻击方式和XSS攻击方式等进行攻击行为检测,一般采用黑名单检测、规则匹配检测以及机器学习检测的方式。
黑名单检测,是指安全人员预先定义一些常见的用于构造SQL注入、XSS攻击等恶意攻击的敏感字符黑名单,当用户提供的URL数据发送到服务端后,先将传入的URL数据与敏感字符黑名单中的敏感字符进行匹配。如果匹配到敏感字符黑名单中的敏感字符则表示该URL数据存在攻击风险,则服务端将丢弃该请求数据;如果没有匹配到敏感字符黑名单中的敏感字符则服务端可以对其进行解析和响应。其中,采用黑名单检测容易造成误报和漏报,同时敏感字符黑名单的维护成本较高和更新速率较慢。
规则检测,是指安全人员根据SQL注入、XSS攻击等恶意攻击情况下的URL格式特征构造规则库,对用户提供的URL数据的格式进行规则匹配。若匹配成功则表示该URL数据存在攻击风险,则服务端将丢弃该请求数据;若匹配不成功则服务端可以对其进行解析和响应。其中,采用规则检测需要检测整条URL数据,存在较多的数据冗余,并且只能针对已知攻击特征进行检测,因此检测的准确率较低。
机器学习检测,是指基于敏感词或者字符的统计特征数据作为整个检测技术的特征属性,如URL的长度、URL的熵值、敏感词个数、敏感词类别、参数个数、参数类别等,然后使用决策树、支持向量机、多层神经网络算法等检测恶意攻击行为。其中,由于机器学习检测中预定义的敏感词或字符可能不够全面,因此检测的准确率较低。
为了缓解攻击行为检测的准确率较低的问题,发明人研究发现,可以通过对URL数据中的参数域数据进行检测,实现攻击行为的检测,从而提高攻击行为检测的准确率。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种攻击行为检测方法的流程图,该攻击行为检测方法可以应用于电子设备。该攻击行为检测方法可以包括如下内容:
步骤S101:获取待检测URL数据,并提取待检测URL数据中的待检测参数域字段。
步骤S102:对待检测参数域字段进行预处理,以将待检测参数域字段转换为对应的待检测特征向量。
步骤S103:将待检测特征向量输入预先训练好的攻击行为检测模型,得到待检测URL数据对应的攻击行为检测结果。
具体的,URL数据是互联网上标识资源的唯一地址,一般包括三个部分:资源类型、存放资源的主机域名以及资源文件名。作为一种实施方式,URL数据的格式可以表示为protocal://hostname[:port]/path/[?query](IETF request for comment 1738,RFC1738),其中,“[]”表示可选内容。
电子设备获取待检测URL数据的方式有多种,例如:接收外部设备发送的URL数据;或者,采集实时的超文本传输协议(Hyper Text Transfer Protocol,HTTP)数据,并从HTTP数据中提取URL数据;或者,读取云端数据库中或者本地存储的URL数据等。本申请实施例对此不作具体的限定,本领域技术人员可以根据实际情况进行合适的选择。
电子设备在获取到待检测URL数据之后,可以提取待检测URL数据中的待检测参数域字段。其中,可以根据URL数据的结构特性可以将URL数据划分为协议域、主机名域、路径名域、文件名域和参数域五个部分,步骤S101中提取的即为URL数据中的参数域部分。
可以理解的是,对于一个URL数据,其中可能仅包括一个参数域,此时电子设备可以仅提取这一个参数域;URL数据中也可能包括多个参数域,此时电子设备需要提取URL数据中的多个参数域。
举例来说,以一个URL数据为例,假设该URL数据可以表示为:http://www.topsec.comc.cn/product/test/testhtml?user=blackbox&room=5ca481e99a88ab02be37bdf3&console=true;其中,http为协议域,www.topsec.comc.cn为主机名域,product/test为路径名域,testhtml为文件名域,user=blackbox为第一个参数域,room=5ca481e99a88ab02be37bdf3为第二个参数域,console=true为第三个参数域。可以看出。该URL数据包括三个参数域。
作为一种实施方式,在上述步骤S101之后,本申请实施例提供的攻击行为检测方法可以包括如下内容:
判断提取的待检测参数域字段是否完整;
若提取的待检测参数域字段完整,则执行步骤S102;
若提取的待检测参数域字段不完整,则重新提取待检测URL数据中的待检测参数域字段。
可以理解的是,上述判断提取的待检测参数域字段是否完整,包括两种情况:第一种情况,判断每个待检测参数域字段是否完整;第二种情况,当待检测URL数据中包括多个待检测参数域字段时,判断是否提取到所有的待检测参数域字段。本领域技术人员可以根据实际情况选择执行上述第一种情况或者第二种情况,或者执行上述第一种情况以及第二种情况,本申请实施例对此不作具体的限定。
电子设备在提取到待检测参数域字段之后,可以对待检测参数域字段进行预处理,从而将待检测参数域字段转换为对应的待检测特征向量。其中,本申请实施例对预处理的具体实施方式同样不作具体的限定,例如:可以采用卷积神经网络对待检测参数域字段进行预处理;或者,可以采用skip-gram编码器对待检测参数域字段进行预处理;或者,可以采用skip-gram模型对待检测参数域字段进行预处理等,本领域技术人员可以根据实际情况进行合适的选择。
然后,电子设备可以利用预先训练好的攻击行为检测模型对待检测特征向量进行检测,从而得到待检测URL数据对应的攻击行为检测结果。其中,攻击行为检测结果有多种表现形式。
作为一种实施方式,攻击行为检测结果可以包括:存在攻击行为以及不存在攻击行为两种结果;作为另一种实施方式,攻击行为检测结果可以包括具体的攻击行为,例如:攻击行为检测结果可以包括无攻击行为、存在SQL注入攻击从未、存在XSS攻击行为、存在其他攻击行为。本领域技术人员同样可以根据实际情况,对攻击行为检测结果的具体实现方式进行合适的调整。
在上述方案中,通过提取待检测URL数据中的待检测参数域字段,从而实现针对URL数据中的参数域字段的检测。其中,通过对待检测参数域字段进行预处理,从而将待检测参数域字段转换为对应的待检测特征向量,以利用攻击行为检测模型基于待检测特征向量进行攻击行为的检测。由于在检测的过程张直接针对URL数据中的参数域字段进行检测,因此可以提高检测的准确率。
进一步的,上述步骤S102具体可以包括如下内容:
利用预先确定的skip-gram数据映射表将待检测参数域字段转换为待检测参数域映射数据。
利用预先训练好的特征提取模型提取待检测参数域映射数据对应的待检测特征向量。
具体的,电子设备上可以存储有预先确定的skip-gram数据映射表,或者电子设备可以接收外部设备发送的预先确定的skip-gram数据映射表,并根据上述skip-gram数据映射表将待检测参数域字段转换为待检测参数域映射数据。
其中,skip-gram是基于分布式思想编码的方法之一,具有强大的表征能力,能够将文本语料的最小语义单元映射为实数向量,并用不同语义单元的空间距离表示语义相似度;同时可以通过给定目标字符预测上下文信息,应用范围广且适用于较大量的数据集运算。因此,本申请实施例可以采用skip-gram的思想对待检测参数域字段进行处理,完成待检测参数域字段的信息转换。
同样的,电子设备上可以存储有预先训练好的特征提取模型,或者电子设备可以接收外部设备发送的预先训练好的特征提取模型,并可以利用上述特征提取模型提取待检测参数域映射数据对应的待检测特征向量。作为一种实施方式,特征提取模型可以采用卷积神经网络。
其中,卷积神经网络是一类包含卷积计算且具有深度结构的前馈神经网络。卷积神经网络可以包括由卷积(convolution)、激活(activation)、池化(pooling)三种结构,具有较强的表征学***移不变分类。
需要说明的是,预先确定skip-gram数据映射表的具体实施方式,以及预先训练特征提取模型的具体实施方式,将在后续实施例中进行详细的说明,此处暂不介绍。
在上述方案中,利用skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。此外,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
进一步的,作为一种实施方式,攻击行为检测模型可以采用随机森林算法模型。其中,随机森林算法模型是一种统计学习理论,它将决策树作为基本分类器,最终的分类结果的确定是由单个决策树的最终输出结果投票决定出来的。
在这种实施方式中,在上述步骤S101之前,可以预先对随机森林算法模型进行训练,以得到预先训练好的攻击行为检测模型。也就是说,在上述步骤S101,本申请实施例提供的攻击行为检测方法还可以包括如下内容:
获取样本数据。
对样本数据进行预处理,以将样本数据转换为对应的样本特征向量。
利用样本特征向量对随机森林算法模型进行训练,得到攻击行为检测模型。
具体的,样本数据可以包括正样本数据以及负样本数据两个部分,且正样本数据包括正常参数域字段,负样本数据包括非正常参数域字段。可以理解的是,正常参数域字段可以是从正常(即不存在攻击行为)的URL数据中提取得到的,而非正常参数域字段可以是从不正常(即存在攻击行为)的URL数据中提取得到的。
其中,正常的URL数据可以包括事先通过多种方式积累得到的不存在攻击行为的URL数据。举例来说,正常的URL数据可以包括从防火墙网关中提取到的HTTP数据中的URL数据;或者,正常的URL数据也可以包括从流量数据中提取到的URL数据等。
类似的,非正常的URL数据可以包括事先通过多种方式积累得到的存在攻击行为的URL数据。举例来说,非正常的URL数据可以包括根据URL参数域攻击原理的规则和方式在正常的URL数据中填充具有攻击行为的数据字段得到的URL数据;或者,非正常的URL数据也可以包括从收集到的相关开源数据中提取到的URL数据等。
可以理解的是,本申请实施例对正常的URL数据以及非正常的URL数据的具体获得方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的选择。
电子设备在获取得到样本数据之后,可以对样本数据进行预处理。其中,对样本数据进行预处理的方式应该与步骤S102中对待检测参数域字段进行预处理的方式相同,从而将样本数据转换为与待检测特征向量形式相同的样本特征向量。这样,可以保证待训练的随机森林算法模型的输入与预先训练好的攻击行为检测模型的输入的形式相同,保证检测结果的准确率。
电子设备在得到样本特征向量之后,可以利用样本特征向量对随机森林算法模型进行训练,得到攻击行为检测模型。其中,由于随机森林算法模型中包括多个决策树,因此在训练得到的攻击行为检测模型中,根据每个决策树的分类结果投票,可以得到待检测URL数据对应的攻击行为检测结果。
在上述方案中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
进一步的,下面介绍对随机森林算法模型进行训练的具体实施方式。上述利用样本特征向量对随机森林算法模型进行训练,得到攻击行为检测模型的步骤,具体可以包括如下内容:
利用自助法对样本特征向量进行随机有放回采样,生成n个训练集;其中,n为大于零的正整数。
利用n个训练集分别训练n个决策树模型,得到n个训练好的决策树模型。
根据n个训练好的决策树模型组成攻击行为检测模型。
具体的,针对样本特征向量,可以采用自助(Bootstraping)法进行随机有放回采样,从样本特征向量中取出m个样本,共进行n次采样,因此可以生成n个训练集。
其中,Bootstraping法是一种模型验证(评估)的方法,其以自助采样(BootstrapSampling)法为基础,即有放回的采样或重复采样。作为一种实施方式,Bootstraping法的具体做法可以为:在数据集(对应本申请实施例中的样本特征向)中,每次随机挑选一个样本,将其作为训练样本,再将此样本放回到数据集中,这样有放回地抽样m次,生成一个与原数据集大小相同的数据集,这个新数据集就是训练集;重复n次上述步骤,即可以得到n个训练集。
然后,利用上述步骤得到的n个训练集,可以分别训练n个决策树模型,即每个训练集对应训练一个决策树模型。其中,对于单个决策树模型,假设训练样本特征的个数为n,每次***时可以根据基尼指数选择最好的特征进行***。举例来说,对于一般的决策树,假如总共有K类,样本属于第k类的概率为:pk,其基尼指数Gini(p)可以表示为:
Figure BDA0003314483790000171
每个决策树都这样***下去,直到该节点所有的训练样例都属于同一类。其中,在决策树***的过程中可以不进行剪枝。
然后,再将利用上述方法训练好的n个决策树模型组成攻击行为检测模型。
在上述方案中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
进一步的,下面介绍预先确定skip-gram数据映射表的具体实施方式。在上述获取样本数据的步骤之后,本申请实施例提供的攻击行为检测方法还可以包括如下内容:
根据URL参数域字段生成对应的字符表。
利用字符表以及样本数据对skip-gram编码器进行训练,得到训练后的skip-gram编码器。
根据skip-gram编码器生成skip-gram数据映射表。
具体的,可以首先根据URL参数域字段中所有可能出现的字符构建组成skip-gram所需的字符表V,设置ω为字符表V中的字符,d为字符向量的维数,则有w∈Rd是ω∈V的向量表示。根据设置滑动窗口大小得到训练数据(ω,c),可以利用训练数据对skip-gram编码器进行训练,得到训练后的skip-gram编码器。
其中,在目标字符ω的上下文中观察到字符c的概率为:
Figure BDA0003314483790000181
在目标字符ω的上下文中未观察到字符c的概率为:
Figure BDA0003314483790000182
其中,向量w与向量C分别为字符ω与字符c的向量表示。
在上述方案中,利用skip-gram编码器生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
进一步的,下面介绍预先确定skip-gram数据映射表的另一种具体实施方式。在上述获取样本数据的步骤之后,本申请实施例提供的攻击行为检测方法还可以包括如下内容:
将样本数据输入预先训练好的skip-gram编码器,得到样本向量。
利用样本向量对skip-gram模型进行训练,得到训练后的skip-gram模型。
根据skip-gram编码器以及skip-gram模型生成skip-gram数据映射表。
具体的,可以首先对skip-gram编码器进行训练,其中,训练skip-gram编码器的方式与上述实施例中的方式类似,此处不再赘述。然后,将样本数据输入预先训练好的skip-gram编码器,得到样本向量,作为训练skip-gram模型的样本数据。其中,在本申请实施例中,skip-gram模型可以进一步的加强skip-gram编码器输出的特征表达的能力。
电子设备在得到样本向量之后,可以直接对skip-gram模型进行训练;也可以利用负采样技术对样本向量进行采样后,利用采样后的数据对skip-gram模型进行训练,从而可以尽可能的使得真实目标具有较高的概率。
作为一种实施方式,skip-gram模型的结构可以包括:输入层、隐藏层(无激活函数的线性神经元)以及输出层(使用softmax激活函数),输入层与隐藏层之间存在隐藏层权重矩阵。
作为另一种实施方式,可以采用噪声对比估计(Noise Contrastive Estimation,NCE)来预测目标字符。设置样本向量D及相应的负采样随机向量D,则skip-gram模型中的目标函数J(θ)可以表示为:
J(θ)=∑ω.c∈DPr(D=1|ω,c)+∑ω.c∈D′Pr(D=0|ω,c)。
在对skip-gram模型训练完成后,可以得到训练后的skip-gram模型以及skip-gram模型中的隐藏层权重矩阵。基于上述隐藏层权重矩阵,可以计算字符的稠密编码向量:
w′=w·Wh
其中,向量w′是字符ω的稠密编码向量,向量w是字符ω的one-hot向量,Wh为skip-gram模型训练结束后所得隐藏层权重矩阵。
这样,当输入待检测参数域字段至skip-gram编码器以及skip-gram模型之后,可以实现对待检测参数域字段的稠密编码,从而得到编码后的向量。
在上述方案中,利用skip-gram编码器以及skip-gram模型生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
进一步的,下面介绍预先训练特征提取模型的具体实施方式。在上述获取样本数据的步骤之后,本申请实施例提供的攻击行为检测方法还可以包括如下内容:
利用预先确定的skip-gram数据映射表将样本数据转换为样本映射数据。
利用样本映射数据对卷积神经网络模型进行训练,得到特征提取模型。
具体的,在确定skip-gram数据映射表之后,可以将样本数据输入skip-gram数据映射表中,以将样本数据转换为样本映射数据,然后可以利用样本映射数据对卷积神经网络模型进行训练,得到特征提取模型。
其中,卷积神经网络模型的结构可以包括:输入层、卷积层(激活函数为ReLU)以及池化层(采用平均池化)。其中,作为一种实施方式,卷积层的数量可以为一个;作为另一种实施方式,卷积层的数量也可以为多个,例如:两个卷积层、三个卷积层等,本申请实施例对此不作具体的限定。
以卷积层的数量为两个为例,可以设置卷积神经网络模型的输入为样本映射数据X,由于其长度为n,因此可以表示为X1:n=X1X2…Xn(Xi∈Rn)。两次卷积后得到的特征向量分别为C以及C′,池化后得到的特征向量为P,计算公式如下:
Figure BDA0003314483790000211
Figure BDA0003314483790000212
Figure BDA0003314483790000213
其中,c1、c2为卷积核尺寸,setp1为卷积步长,
Figure BDA0003314483790000214
Figure BDA0003314483790000215
为卷积核的权重矩阵,b1∈R、b2∈R为卷积偏置项,c3为池化过滤器的尺寸,setp2为池化步长。
在上述方案中,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
进一步的,当待检测参数域字段的数量为多个时,在对待检测参数域字段进行预处理之后,还可以将多个待检测参数域字段预处理后得到的数据进行合并以及向量化,从而得到上述多个待检测参数域字段对应的待检测特征向量。
请参照图2,图2为本申请实施例提供的一种攻击行为检测装置的结构框图,该攻击行为检测装置200可以包括:第一获取模块201,用于获取待检测统一资源***URL数据,并提取所述待检测URL数据中的待检测参数域字段;第一预处理模块202,用于对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量;第一输入模块203,用于将所述待检测特征向量输入预先训练好的攻击行为检测模型,得到所述待检测URL数据对应的攻击行为检测结果。
在本申请实施例中,通过提取待检测URL数据中的待检测参数域字段,从而实现针对URL数据中的参数域字段的检测。其中,通过对待检测参数域字段进行预处理,从而将待检测参数域字段转换为对应的待检测特征向量,以利用攻击行为检测模型基于待检测特征向量进行攻击行为的检测。由于在检测的过程张直接针对URL数据中的参数域字段进行检测,因此可以提高检测的准确率。
进一步的,所述第一预处理模块202具体用于:利用预先确定的skip-gram数据映射表将所述待检测参数域字段转换为待检测参数域映射数据;利用预先训练好的特征提取模型提取所述待检测参数域映射数据对应的待检测特征向量。
在本申请实施例中,利用skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。此外,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
进一步的,所述攻击行为检测装置200还包括:第二获取模块,用于获取样本数据;其中,所述样本数据包括正样本数据以及负样本数据,所述正样本数据包括正常参数域字段,所述负样本数据包括非正常参数域字段;第二预处理模块,用于对所述样本数据进行预处理,以将所述样本数据转换为对应的样本特征向量;第一训练模块,用于利用所述样本特征向量对随机森林算法模型进行训练,得到所述攻击行为检测模型。
在本申请实施例中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
进一步的,所述第一训练模块具体用于:利用自助法对所述样本特征向量进行随机有放回采样,生成n个训练集;其中,n为大于零的正整数;利用所述n个训练集分别训练n个决策树模型,得到n个训练好的决策树模型;根据所述n个训练好的决策树模型组成所述攻击行为检测模型。
在本申请实施例中,在进行攻击检测之前,可以利用样本数据对随机森林算法模型进行训练,从而得到预先训练好的攻击行为检测模型。其中,由于随机森林算法模型对噪声和异常值都具有很好的容忍度、不会出现决策树的过拟合问题、对高维数据分类问题具有良好的可扩展性和并行性,因此可以提高特征提取的准确率。此外,由于随机森林算法模型是数据驱动的非参数分类方法,训练时并不需要分类的先验知识等,因此维护的成本较低。
进一步的,所述攻击行为检测装置200还包括:第一生成模块,用于根据URL参数域字段生成对应的字符表;第二训练模块,用于利用所述字符表以及所述样本数据对skip-gram编码器进行训练,得到训练后的skip-gram编码器;第二生成模块,用于根据所述skip-gram编码器生成所述skip-gram数据映射表。
在本申请实施例中,利用skip-gram编码器生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
进一步的,所述攻击行为检测装置200还包括:第二输入模块,用于将所述样本数据输入预先训练好的skip-gram编码器,得到样本向量;第三训练模块,用于利用所述样本向量对skip-gram模型进行训练,得到训练后的skip-gram模型;第三生成模块,用于根据所述skip-gram编码器以及所述skip-gram模型生成所述skip-gram数据映射表。
在本申请实施例中,利用skip-gram编码器以及skip-gram模型生成的skip-gram数据映射表可以将字符形式的待检测参数域字段转换为向量形式的检测参数域映射数据,由于利用skip-gram数据映射表可以充分表达字符含义与字符之间的关系,因此可以降低特征提取模型提取特征的复杂度,从而减少特征提取的时间。
进一步的,所述攻击行为检测装置200还包括:转换模块,用于利用预先确定的skip-gram数据映射表将所述样本数据转换为样本映射数据;第四训练模块,用于利用所述样本映射数据对卷积神经网络模型进行训练,得到所述特征提取模型。
在本申请实施例中,利用特征提取模型可以提取待检测参数域映射数据的特征,由于特征提取模型具有较强的表征学习能力,因此基于上述特征进行攻击检测可以提高准确率。
请参照图3,图3为本申请实施例提供的一种电子设备的结构框图,该电子设备300包括:至少一个处理器301,至少一个通信接口302,至少一个存储器303和至少一个通信总线304。其中,通信总线304用于实现这些组件直接的连接通信,通信接口302用于与其他节点设备进行信令或数据的通信,存储器303存储有处理器301可执行的机器可读指令。当电子设备300运行时,处理器301与存储器303之间通过通信总线304通信,机器可读指令被处理器301调用时执行上述攻击行为检测方法。
例如,本申请实施例的处理器301通过通信总线304从存储器303读取计算机程序并执行该计算机程序可以实现如下方法:步骤S101:获取待检测URL数据,并提取待检测URL数据中的待检测参数域字段。步骤S102:对待检测参数域字段进行预处理,以将待检测参数域字段转换为对应的待检测特征向量。步骤S103:将待检测特征向量输入预先训练好的攻击行为检测模型,得到待检测URL数据对应的攻击行为检测结果。
处理器301可以是一种集成电路芯片,具有信号处理能力。上述处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器303可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图3所示的结构仅为示意,电子设备300还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备300可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备300也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述实施例中攻击行为检测方法的步骤,例如包括:获取待检测统一资源***URL数据,并提取所述待检测URL数据中的待检测参数域字段;对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量;将所述待检测特征向量输入预先训练好的攻击行为检测模型,得到所述待检测URL数据对应的攻击行为检测结果。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种攻击行为检测方法,其特征在于,包括:
获取待检测统一资源***URL数据,并提取所述待检测URL数据中的待检测参数域字段;
对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量;
将所述待检测特征向量输入预先训练好的攻击行为检测模型,得到所述待检测URL数据对应的攻击行为检测结果。
2.根据权利要求1所述的攻击行为检测方法,其特征在于,所述对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量,包括:
利用预先确定的skip-gram数据映射表将所述待检测参数域字段转换为待检测参数域映射数据;
利用预先训练好的特征提取模型提取所述待检测参数域映射数据对应的待检测特征向量。
3.根据权利要求2所述的攻击行为检测方法,其特征在于,在所述获取待检测统一资源***URL数据之前,所述方法还包括:
获取样本数据;其中,所述样本数据包括正样本数据以及负样本数据,所述正样本数据包括正常参数域字段,所述负样本数据包括非正常参数域字段;
对所述样本数据进行预处理,以将所述样本数据转换为对应的样本特征向量;
利用所述样本特征向量对随机森林算法模型进行训练,得到所述攻击行为检测模型。
4.根据权利要求3所述的攻击行为检测方法,其特征在于,所述利用所述样本特征向量对随机森林算法模型进行训练,得到所述攻击行为检测模型,包括:
利用自助法对所述样本特征向量进行随机有放回采样,生成n个训练集;其中,n为大于零的正整数;
利用所述n个训练集分别训练n个决策树模型,得到n个训练好的决策树模型;
根据所述n个训练好的决策树模型组成所述攻击行为检测模型。
5.根据权利要求3或4所述的攻击行为检测方法,其特征在于,在所述获取样本数据之后,所述方法还包括:
根据URL参数域字段生成对应的字符表;
利用所述字符表以及所述样本数据对skip-gram编码器进行训练,得到训练后的skip-gram编码器;
根据所述skip-gram编码器生成所述skip-gram数据映射表。
6.根据权利要求3或4所述的攻击行为检测方法,其特征在于,在所述获取样本数据之后,所述方法还包括:
将所述样本数据输入预先训练好的skip-gram编码器,得到样本向量;
利用所述样本向量对skip-gram模型进行训练,得到训练后的skip-gram模型;
根据所述skip-gram编码器以及所述skip-gram模型生成所述skip-gram数据映射表。
7.根据权利要求3或4所述的攻击行为检测方法,其特征在于,在所述获取样本数据之后,所述方法还包括:
利用预先确定的skip-gram数据映射表将所述样本数据转换为样本映射数据;
利用所述样本映射数据对卷积神经网络模型进行训练,得到所述特征提取模型。
8.一种攻击行为检测装置,其特征在于,包括:
第一获取模块,用于获取待检测统一资源***URL数据,并提取所述待检测URL数据中的待检测参数域字段;
第一预处理模块,用于对所述待检测参数域字段进行预处理,以将所述待检测参数域字段转换为对应的待检测特征向量;
第一输入模块,用于将所述待检测特征向量输入预先训练好的攻击行为检测模型,得到所述待检测URL数据对应的攻击行为检测结果。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-7任一项所述的攻击行为检测方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-7任一项所述的攻击行为检测方法。
CN202111226985.6A 2021-10-21 2021-10-21 一种攻击行为检测方法及装置 Pending CN113965377A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111226985.6A CN113965377A (zh) 2021-10-21 2021-10-21 一种攻击行为检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111226985.6A CN113965377A (zh) 2021-10-21 2021-10-21 一种攻击行为检测方法及装置

Publications (1)

Publication Number Publication Date
CN113965377A true CN113965377A (zh) 2022-01-21

Family

ID=79465862

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111226985.6A Pending CN113965377A (zh) 2021-10-21 2021-10-21 一种攻击行为检测方法及装置

Country Status (1)

Country Link
CN (1) CN113965377A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553523A (zh) * 2022-02-21 2022-05-27 平安普惠企业管理有限公司 基于攻击检测模型的攻击检测方法及装置、介质、设备
CN115001763A (zh) * 2022-05-20 2022-09-02 北京天融信网络安全技术有限公司 钓鱼网站攻击检测方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194677A (zh) * 2018-09-21 2019-01-11 郑州云海信息技术有限公司 一种sql注入攻击检测方法、装置及设备
CN110808968A (zh) * 2019-10-25 2020-02-18 新华三信息安全技术有限公司 网络攻击检测方法、装置、电子设备和可读存储介质
CN113505826A (zh) * 2021-07-08 2021-10-15 西安电子科技大学 基于联合特征选择的网络流量异常检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194677A (zh) * 2018-09-21 2019-01-11 郑州云海信息技术有限公司 一种sql注入攻击检测方法、装置及设备
CN110808968A (zh) * 2019-10-25 2020-02-18 新华三信息安全技术有限公司 网络攻击检测方法、装置、电子设备和可读存储介质
CN113505826A (zh) * 2021-07-08 2021-10-15 西安电子科技大学 基于联合特征选择的网络流量异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张婷;钱丽萍;汪立东;张慧;: "基于多层卷积模型的恶意URL特征自动提取", 计算机工程与设计 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553523A (zh) * 2022-02-21 2022-05-27 平安普惠企业管理有限公司 基于攻击检测模型的攻击检测方法及装置、介质、设备
CN115001763A (zh) * 2022-05-20 2022-09-02 北京天融信网络安全技术有限公司 钓鱼网站攻击检测方法、装置、电子设备及存储介质
CN115001763B (zh) * 2022-05-20 2024-03-19 北京天融信网络安全技术有限公司 钓鱼网站攻击检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
Adebowale et al. Intelligent phishing detection scheme using deep learning algorithms
CN110309304A (zh) 一种文本分类方法、装置、设备及存储介质
EP2803031B1 (en) Machine-learning based classification of user accounts based on email addresses and other account information
CN111818198B (zh) 域名检测方法、域名检测装置和设备以及介质
Zhang et al. Boosting the phishing detection performance by semantic analysis
CN111371806A (zh) 一种Web攻击检测方法及装置
CN104156490A (zh) 基于文字识别检测可疑钓鱼网页的方法及装置
CN111597803B (zh) 一种要素提取方法、装置、电子设备及存储介质
CN112217787B (zh) 一种基于ed-gan的仿冒域名训练数据生成方法及***
Liu et al. An efficient multistage phishing website detection model based on the CASE feature framework: Aiming at the real web environment
CN113965377A (zh) 一种攻击行为检测方法及装置
CN113032525A (zh) 虚假新闻检测方法、装置、电子设备以及存储介质
CN115238688B (zh) 电子信息数据关联关系分析方法、装置、设备和存储介质
CN113806548A (zh) 基于深度学习模型的信访要素抽取方法及抽取***
CN111460783A (zh) 一种数据处理方法、装置、计算机设备及存储介质
CN113962199B (zh) 文本识别方法、装置、设备、存储介质及程序产品
CN115495744A (zh) 威胁情报分类方法、装置、电子设备及存储介质
Gong et al. Model uncertainty based annotation error fixing for web attack detection
Mangal et al. A Framework for Detection and Validation of Fake News via authorize source matching
CN110958244A (zh) 一种基于深度学习的仿冒域名检测方法及装置
Jan et al. Semi-supervised labeling: a proposed methodology for labeling the twitter datasets
Kasim Automatic detection of phishing pages with event-based request processing, deep-hybrid feature extraction and light gradient boosted machine model
CN115801455B (zh) 一种基于网站指纹的仿冒网站检测方法及装置
CN116881408A (zh) 基于ocr和nlp的视觉问答防诈骗方法及***
Jang et al. A study on the detection method for malicious urls based on a number of search results matching the internet search engines combining the machine learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination