[发明专利]基于Transformer的应用层恶意有效负载检测方法、系统、设备及介质

说明书

本发明公开了一种基于Transformer的应用层恶意有效负载检测方法、系统、设备及介质，其方法为：构建应用层用户请求样本集，每个样本包括一条应用层用户请求及其恶意有效负载信息，恶意有效负载信息包括一组或多组具体恶意有效负载及其类别；对样本集进行数据预处理得到用户请求及各词元的类别真实标签；使用预处理后的样本集训练预先构建的基于Transformer的深度神经网络模型；使用训练得到的模型对待检测的应用层用户请求中的各词元，预测其恶意有效负载类别；最终合并连续且相同类别的词元，确定用户请求中的恶意有效负载信息。本发明能够准确有效地对应用层用户请求中的恶意有效负载信息进行检测。

技术领域

本发明属于计算机信息处理技术领域，涉及到一种基于Transformer的应用层恶意有效负载检测方法及系统。。

背景技术

随着移动互联网的快速发展，线上服务成为国民青睐的服务方式，如网上政务、远程问诊、电子商务等网络应用服务使国民生活日益便捷。网络服务蓬勃发展的同时，安全问题不容小觑。自2020年至今，个人隐私、商业机密、知识产权等数据泄露安全事件频发。攻击者通过构造应用层恶意请求对网络应用进行攻击，以获取应用服务器的控制权及其中的用户数据，进而谋取不正当利益。

恶意有效负载是网络攻击中对受害者造成危害的攻击关键组成部分。网络攻击者常构造诸如SQL注入、XSS攻击、Web Shell等恶意有效负载，将其藏匿于请求报文中形成应用层恶意请求，发送给应用服务器。如果应用服务器未识别出恶意请求，使得恶意有效负载执行，将危害应用服务的可用性及用户数据的安全性。

目前工业界的网络安全解决方案提供商主要采用安全规则集匹配进行应用层恶意有效负载检测。安全从业人员通过分析历史恶意请求流量的攻击行为，提取各攻击类型的有效负载，进一步构造攻击特征匹配表达式，最终构建形成安全规则集。当应用层用户请求到达后，使用所配置的安全规则集进行特征匹配。若请求中的文本片段匹配上某攻击的规则，则该片段为对应攻击的恶意有效负载。但是，基于安全规则集的应用层恶意有效负载检测，存在攻击规则的构建极度依赖专家知识、维护和更新的工作量大、对于未知类型攻击负载没有检测能力等问题。

在最新的研究中，安全研究人员将图像目标检测方法应用到恶意有效负载检测领域，初步取得成效。但是，这些方法使用了许多手工制定的组件，如锚点生成器、基于规则的训练目标分配、非极大值抑制后处理，严重依赖于专家经验与知识，致使最终模型不是完全的端到端模型。此外，将图像目标检测方法应用到有效负载检测领域仍存在多种问题。比如，图像数据中每个像素点与邻近像素点的数值相关性强，而请求报文中每个词元与邻近词元的数值差异大。若使用图像目标检测的特征提取方法(多层卷积与池化操作)将丢失大量细节信息，最终导致模型不收敛。

因此，针对现有方法存在的不足，有必要设计一种端到端的应用层恶意有效负载检测方法，检测能力优秀。

发明内容

本发明所解决的技术问题是，针对现有技术的不足，提出一种基于Transformer的应用层恶意有效负载检测方法及系统，模型简单统一，检测能力优秀。

为实现上述技术目的，本发明采用如下技术方案：

一种基于Transformer的应用层恶意有效负载检测方法，包括以下步骤：

步骤1、构建应用层用户请求样本集D，其中每个样本d_i包括一条应用层用户请求x_i及其恶意有效负载信息，恶意有效负载信息包括一组或多组具体恶意有效负载p_ij及其类别y_ij；下标i用于区别不同的应用层用户请求，下标j用于区别不同类别的恶意有效负载；

步骤2、将D中应用层用户请求样本d_i进行数据预处理，得到由若干词元组成的用户请求及与各词元的类别真实标签下标中的l用于区别不同的词元；