[发明专利]基于字符级神经网络的WEB应用入侵检测方法及系统

权利要求书

1.基于字符级神经网络的WEB应用入侵检测方法，其特征是，包括：

接收网络流量数据；对网络流量数据进行规格化处理；

将规格化处理后的网络流量数据，进行黑名单前置检测；如果网络流量数据与黑名单中任一名单相匹配，则输出入侵警告；否则进入下一步；

对通过黑名单检测的网络流量数据进行规则过滤检测；如果规则过滤检测通过，则进入下一步；否则，输出入侵警告；对通过黑名单检测的网络流量数据进行规则过滤检测；具体包括：

首先对系统生成的黑名单进行匹配，当发现网络流量数据的来源ip地址存在于系统生成的黑名单中时，直接判断为攻击流量；

第二步与用户定义的黑名单进行匹配，其中源地址、源端口、目的地址、目的端口、网络协议特征项采用严格匹配方式；载荷关键词特征项采用正则方式匹配；若匹配成功则判断为攻击流量；

对经过规则过滤检测的网络流量数据，输入到训练后的基于字符级的循环神经网络中，神经网络输出入侵检测结果；

将入侵检测结果记录到日志中，将检测结果为安全的网络流量数据转发给WEB服务器，将检测结果为不安全的网络流量数据进行拦截，并显示入侵警告；

针对WEB应用站点需求进行定制化部署，通过攻击数据生成器以及正常数据生成器，对WEB应用站点定制化生成训练集，通过字符级循环神经网络训练，得到定制化的神经网络权重文件。

2.如权利要求1所述的基于字符级神经网络的WEB应用入侵检测方法，其特征是，对网络流量数据进行规格化处理；具体包括：

将网络流量数据解包为可读数据，以键值对方式，存储为json格式，描述单条网络流量的格式化数据包括：源地址、目的地址、源端口号、目的端口号、采用的网络协议、原始载荷、编码载荷和标志位。

3.如权利要求2所述的基于字符级神经网络的WEB应用入侵检测方法，其特征是，载荷将采用one-hot编码方式处理，并存储在编码载荷中；通过上述处理后，规格化的网络流量数据将包含以上源地址、目的地址、源端口号、目的端口号、采用的网络协议、原始载荷、编码载荷和标志位八个部分，送入黑名单前置检测。

4.如权利要求1所述的基于字符级神经网络的WEB应用入侵检测方法，其特征是，将规格化处理后的网络流量数据，进行黑名单前置检测；如果网络流量数据与黑名单中任一项相匹配，则输出入侵警告；否则进入下一步；其中，黑名单包含两部分，一部分为检测系统内置的黑名单，由系统生成，以源ip地址列表方式存储；另一部分为用户定义的黑名单，由用户生成，可存储描述网络流量数据包的特征项：源地址、源端口、目的地址、目的端口、网络协议和载荷关键词。

5.如权利要求1所述的基于字符级神经网络的WEB应用入侵检测方法，其特征是，对经过规则过滤检测的网络流量数据，输入到训练后的基于字符级的循环神经网络中，神经网络输出入侵检测结果；训练后的基于字符级的循环神经网络的具体训练步骤包括：

构建训练集；所述训练集，包括：正样本数据和负样本数据；

将训练集输入到基于字符级的循环神经网络中，对网络进行训练，调整网络参数；

每迭代设定次数后，就开始判断网络的损失函数值与设定阈值的大小；

当神经网络的损失函数值大于设定阈值，则继续迭代训练；

当神经网络的损失函数值小于设定阈值，则停止训练，输出神经网络参数；

将神经网络参数部署到基于字符级的循环神经网络中，在对神经网络进行测试，如果测试通过，则得到训练后的基于字符级的循环神经网络，如果测试不通过，则继续训练。