[发明专利]一种基于动态特征提取的攻击URL检测方法

说明书

本发明属于网络安全领域，涉及Web安全中攻击URL检测方法，具体的说是一种基于动态特征提取的攻击URL检测方法。具体的说是一种基于循环神经网络的攻击URL检测方法。使用深度学习中的循环神经网络对攻击URL进行特征提取，能够有效的学习攻击URL中共有的特征。需人工手动编写规则进行匹配，对未知的攻击也可以进行检测。

技术领域

本发明属于网络安全领域，涉及Web安全中攻击URL检测方法，具体的说是一种基于动态特征提取的攻击URL检测方法。

背景技术

在网络安全中，Web安全往往是研究的重点。由于URL为用户与服务器最常用的交互途径，因此大量攻击以URL为载体。具有攻击行为的URL被称为攻击URL，否则称之为正常URL。采用深度学习进行攻击URL检测已经有了广泛的应用。传统对攻击URL进行检测的方式通常是使用各种规则例如正则表达式进行匹配。这些方法有两个缺点。首先，使用规则的匹配方式需要针对每一种攻击方式，使用专家经验进行规则编写。针对一种攻击方式编写的规则不能应用于另一种攻击的检测。第二，规则只能检测处于规则库中的攻击。当新的攻击方式出现后，需要编写新的规则。因此无法做到实时的拦截最新的规则。因此针对以上的缺点，本发明使用深度学习中的循环神经网络对攻击URL进行特征提取，能够有效的学习攻击URL中共有的特征。

发明内容

针对上述问题，本发明提出一种基于动态特征提取的攻击URL检测方法。

本发明的技术方案为：

一种基于动态特征提取的攻击URL检测方法，其特征在于，包括以下步骤：

S1、采集URL数据，并将其标记；

S2、将采集到的URL数据进行预处理，转换为可计算的数值矩阵；

S3、使用采集到的URL对循环神经网络进行训练，并保存模型；

S4、利用S3中保存的模型对未知的URL进行检测以判定是否为攻击URL。

进一步的，所诉步骤S1中的URL数据仅包含URL中的参数以后的部分。且需将其标记为攻击URL或正常URL。

进一步的，所诉步骤2的具体过程如下:

(1)将步骤S1中所采集的URL按字符分割为字符集合；

(2)统计每一种字符总数。若某一字符数量小于预设值，则将其替换为字符0。否则不做任何处理。

(3)若某条URL分割形成后的字符集合大小小于预设值，则在字符集合中补充0字符直到字符集合大小等于预设值。若某条URL分割形成后的字符集合大小大于预设值，则丢弃其末尾字符，直到字符集合大小等于预设值。

(4)对分割后所得字符集中每一个字符进行向量化，并将一条向量化后的所有向量按行拼接为一个矩阵。

进一步的，所诉步骤3具体过程如下:

(1)将S2中获取到的矩阵数据分为两部分。其中一部分为训练数据，另一部分为测试数据。其中，应尽量保证训练数据中的攻击URL数据与正常URL数据数量相同；

(2)利用训练数据使用梯度下降算法训练循环神经网络；

(3)使用测试数据测试模型误差，若误差小于预设值则停止训练并保存模型。否则继续训练过程。

本发明的有益效果是:

本发明采用深度学习模型中的循环神经网络模型，能够自动提取攻击URL中的隐藏特征。无需人工手动编写规则进行匹配，对未知的攻击也可以进行检测。

附图说明

图1为本发明流程示意图

具体实施方式