(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211300460.7 (22)申请日 2022.10.24 (71)申请人 长沙市智为信息技 术有限公司 地址 410221 湖南省长 沙市高新区文 轩路 27号麓谷企业广场E 6栋5楼 (72)发明人 黄惟　康占英　王青　李芳芳　 刘志　李伟　 (74)专利代理 机构 长沙惟盛赟鼎知识产权代理 事务所(普通 合伙) 43228 专利代理师 马凤兰 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/16(2022.01) H04L 67/02(2022.01) G06F 16/35(2019.01)G06N 3/04(2006.01) G06F 40/205(2020.01) (54)发明名称 一种基于多维特 征网络的Web攻击 检测方法 (57)摘要 本发明公开了一种基于多维特征网络的Web 攻击检测方法， 对HTTP请求进行文本和时间上的 分离与处理， 得到HTTP 文本内容数据和时间段内 请求数据文档； 并对HTTP文本内容数据和时间段 内请求数据文档分别进行文本维度和时间维度 的特征提取； 在文本维度上根据局部特征和全局 特征得到文本维度特征表示， 弥补了卷积网络全 局特征提取的弱势方面； 在时间维度上对时间段 内请求数据文档进行特征提取， 进而得到时间维 度特征表示， 扩大了应用范围与尺度， 提到了攻 击检测的广度和深度； 最后， 根据文本维度特征 表示和时间维度特征表示， 得到攻击检测结果， 进一步提高了检测的精度。 权利要求书3页 说明书9页 附图6页 CN 115361242 A 2022.11.18 CN 115361242 A 1.一种基于多维特 征网络的Web攻击检测方法， 其特 征在于， 包括： S1： 获取HTTP请求的数据， 将所述数据进行分离得到HTTP文本数据和HTTP时间维度数 据； S2： 根据所述HTTP文本数据得到HTTP文本内容数据； 根据所述HTTP时间维度数据得到 时间段内请求数据文档； S3： 对所述HTTP文本内容数据进行局部特征提取， 得到文本局部特征； 对所述HTTP文本 内容数据进行全局特征提取， 得到文本全局特征； 根据所述文本局部特征和所述文本全局 特征， 得到文本维度特 征表示； 对所述时间段内请求数据文档进行特征提取， 得到时间特征； 将多种所述时间特征进 行拼接， 得到原始的时间维度特征表 示； 根据所述原始的时间维度特征表示， 得到时间维度 特征表示； S4： 根据所述文本维度特征表示和所述 时间维度特征表示， 得到攻击检测结果； 所述攻 击检测结果 为与HTTP请求对应的攻击检测结果。 2.根据权利要求1所述的一种基于多维特征网络的Web攻击检测方法， 其特征在于， S1 中， 所述数据包括请求数据和请求文本； 所述请求文本 即为HTTP文本数据； 所述请求数据包 括请求触发的时间； 以当前 的所述请求触发的时间为基点， 提取设定时间范围内的所述请 求数据作为HT TP时间维度数据。 3.根据权利要求2所述的一种基于多维特征网络的Web攻击检测方法， 其特征在于， S2 中， 得到所述HT TP文本内容数据和所述时间段内请求数据文档的过程 为： 对所述HTTP文本数据进行URL解码处理， 对解码处理后的所述HTTP文本数据进行规则 替换， 得到所述HT TP文本内容数据； 对所述HTTP时间维度数据进行URL数据筛选， 将所述HTTP时间维度数据与当前的HTPP 请求进行匹配， 得到当前的HTTP请求在设定时间范围内的所有HTTP时间维度数据的文档， 该文档即为所述时间段请求数据文档。 4.根据权利要求3所述的一种基于多维特征网络的Web攻击检测方法， 其特征在于， S3 中， 得到所述文本局部特 征的过程 为： 步骤1： 设定词汇表； 采用pytorch库中的嵌入层对词汇表中的字符进行词向量矩阵的 随机初始化处理； 将处理后的词汇表中的字符映射到所述HTTP文本内容数据中， 得到词向 量表示， 所述词向量表示记为： ； 计算公式为： 其中， ；X表示HTTP文本内容数据； L表示HTTP文本内容数据所形成的序列的最 大长度；d表示嵌入层的维度； 表示实数集； 步骤2： 对所述词向量表示进行 卷积运算， 得到输出结果； 计算公式为： 其中， 表示第i个卷积层的输出结果； r表示激活层的RELU激活函数； 表示第i个卷权　利　要　求　书 1/3 页 2 CN 115361242 A 2积层； 表示第i个卷积层的卷积核大小； 步骤3： 将多个所述输出 结果进行拼接， 得到文本局部特 征； 计算公式为： 其中，C表示文本局部特征； 表示 函数； 表示第1个卷积层的输出结果； 表示第2个卷积层的输出结果； 表示第n个卷积层的输出结果； n为文本局部特征的维 度； 表示拼接运算符。 5.根据权利要求4所述的一种基于多维特征网络的Web攻击检测方法， 其特征在于， S3 中， 得到所述文本全局特 征的过程 为： 步骤1： 从以往的攻击检测经验中获取全局特征名称， 所述全局特征名称包括文本文件 字段的特 征、 用户代理字段 特征以及额外信息特 征； 步骤2： 将不同的所述全局特征名称进行拼接得到全局特征表示， 所述全局特征表示记 为：E； 计算公式为： 其中， ， 表示第1个全局特征名称， 表示第2个全局特征名称， 表示第m个 全局特征名称； 表示拼接运算符；m表示全局特 征表示的维度； 表示实数集； 步骤3： 将所述全局特征表示输入至第一全连接层， 输出所述文本全局特征； 计算公式 为： 其中， 表示文本全局特征； 表示全局特征表示； 表示第一全连接层； 第一全连 接层的输入维度为 m， 第一全连接层的输出维度为 n。 6.根据权利要求5所述的一种基于多维特征网络的Web攻击检测方法， 其特征在于， S3 中， 采用特征融合方式将所述文本局部特征与所述文本全局特征进行融合， 得到所述文本 维度特征表示； 计算公式为： 其中， 表示文本维度特 征表示；C表示文本局部特 征； 表示文本全局特 征。 7.根据权利要求6所述的一种基于多维特征网络的Web攻击检测方法， 其特征在于， 所 述时间段内请求数据文档包括时间轴； 所述时间特征包括访问次数特征、 无效访问占比特 征以及超时 次数特征。 8.根据权利要求7 所述的一种基于多维特 征网络的Web攻击检测方法， 其特 征在于， S3中， 得到所述时间维度特 征表示的过程 为： 步骤1： 设定间隔时间， 并以当前时刻为基准； 在设定时间范围内， 以所述间隔时间划定 HTTP请求访问次数， 得到访问次数 特征； 在设定时间范围内， 以所述间隔时间划定无效路由与可访 问路由的占比， 得到无效访 问占比特 征；权　利　要　求　书 2/3 页 3 CN 115361242 A 3