[发明专利]基于Transformer的应用层恶意有效负载检测方法、系统、设备及介质

权利要求书

1.一种基于Transformer的应用层恶意有效负载检测方法，其特征在于，包括以下步骤：

步骤1、构建应用层用户请求样本集D，其中每个样本d_i包括一条应用层用户请求x_i及其恶意有效负载信息，恶意有效负载信息包括一组或多组具体恶意有效负载p_ij及其类别y_ij；下标i用于区别不同的应用层用户请求，下标j用于区别不同类别的恶意有效负载；

步骤2、将D中应用层用户请求样本d_i进行数据预处理，得到由若干词元组成的用户请求及与各词元的类别真实标签下标中的l用于区别不同的词元；

步骤3、将数据预处理后应用层用户请求样本集中的输入预先构建的基于Transformer的深度神经网络模型M，计算得到各词元的类别预测概率a_il；

步骤4、将各词元的真实类别标签和预测类别概率a_il代入损失函数L计算模型损失值，根据优化算法更新模型M中的可训练参数；

步骤5、重复步骤3～步骤4，直到满足模型训练结束条件，得到训练好的模型

步骤6、对于待检测的应用层用户请求x′，先进行数据预处理得到结果再将输入训练好的模型计算得到各词元的类别预测概率a，进而得到各词元的类别预测结果；

步骤7、将待检测的应用层用户请求x′中连续的具有相同类别预测结果的词元合并，合并形成的一组或多组片段即为该请求x′的恶意有效负载信息。

2.根据权利要求1所述的基于Transformer的应用层恶意有效负载检测方法，其特征在于，所述步骤2中，对应用层用户请求的数据预处理包括以下步骤：

步骤2.1，对应用层用户请求进行数据清洗，清洗方法为：先对用户请求进行深度包检测得到请求报文；再进行解码、删除错误及重复数据、填充缺失值操作；

步骤2.2：对清洗后的请求报文进行文本编码，编码方法为：先以字符为单位对请求报文进行分词；依次处理各词元，处理过程为先计算该词元的ASCII值，记该词元的ASCII值为k，再构建总维数为K且第k维值为1、其余维值为0的向量，最后将x_i中该词元替换为该向量；x_i的所有词元处理完后，得到预处理后的用户请求

步骤2.3：对应用层用户请求x_i的恶意有效负载信息进行标签处理，处理方法为：先创建维数为x_i总字符长度的零向量再依次处理具体恶意有效负载p_ij：在x_i中查找p_ij获得恶意有效负载p_ij的起始字符位置s及终止字符位置e，将中第s位到第e位的数值修改为y_ij；最终得到预处理后各词元的类别真实标签

3.根据权利要求1所述的基于Transformer的应用层恶意有效负载检测方法，其特征在于，在将D中应用层用户请求样本d_i进行数据预处理，得到数据预处理后应用层用户请求样本集之后，先对样本集进行数据采样得到类别平衡的样本集再使用样本集中的用户请求作为步骤3训练模型M的输入数据；所述对样本集进行数据采样包括以下步骤：

步骤A1：确定样本数量阈值t，进而将样本总量小于t的负载类别判定为少数类，将样本总量大于等于t的负载类别判定为多数类；

步骤A2：确定各负载类别的目标采样数N；

步骤A3：对于多数类的负载类别，采用随机欠采样方法进行数据采样，每个多数类的负载类别均保留N个样本；

步骤A4：对于少数类的负载类别，采用基于生成规则的过采样方法进行数据采样，每个少数类的负载类别均包括N个样本。