基于机器学习的Web应用恶意请求检测方法研究.pdfVIP

摘要

Web恶意请求是指含有攻击代码的HTTP请求，是针对Web应用最常用的攻

击手段之一。该攻击会对Web服务器造成数据泄露、服务中断、宕机等严重危害，

因此如何快速、高效地对Web恶意请求进行检测成为网络安全领域中重要的研究

方向之一。现有的Web恶意请求检测方法存在以下问题：一方面，现有检测方法

通常仅针对请求报文的URL字段进行分析，特征提取方式单一，导致检测模型泛

化能力较弱；另一方面，由于网站Web请求数量巨大，靠人工进行大量数据标注

十分困难，仅能标注少量数据，而现有检测方法大多依赖于大量有标签数据进行有

监督训练，在有标签数据不足时会导致模型训练不充分，从而使其检测能力进一步

受限。针对上述问题，本文的主要研究内容和成果如下：

（1）提出了一种基于多维特征融合的Web恶意请求检测方法。为能更全面地

对HTTP恶意请求的攻击特征进行提取，本文通过对恶意请求的攻击方式进行分

析，从字段属性与统计属性两个方面对恶意请求进行特征提取。此外，为进一步提

高所得特征的泛化能力，本文通过一种基于注意力机制的特征融合算法来进行字

段特征融合，并通过一种基于基尼系数与随机森林的特征选取算法进行统计特征

选取。为平衡各类特征在训练过程对模型的贡献，本文提出了一种双分支结构的恶

意请求检测模型，通过不同分支来对字段特征向量与统计特征向量进行处理与训

练。实验结果显示，与传统检测方法相比，本文提出的检测方法对Web恶意请求

的检测精度更高，具有更好的检测性能。

（2）提出了一种基于自监督对比判别的Web恶意请求检测方法。该方法在请

求报文标签较难获取且数据量有限的场景下，通过将Web恶意请求检测任务分为

预训练和分类检测两个阶段，在不增加标记样本数量的条件下提高了对恶意请求

的检测能力和泛化能力。在预训练阶段，该方法基于对比学习和掩码判别的方式对

Bert模型进行自监督训练，使Bert模型能在高维向量空间中有效保留请求报文数

据的内部特征，优化其词向量表征结果；在分类检测阶段，该方法通过一种基于多

头目标注意力机制的BiLSTM模型对请求报文进行特征提取与分类，使模型能从

不同角度对请求报文的特征信息进行关注，学习得到更准确的分类依据。实验结果

表明，本文提出的自监督预训练方法能够有效提升恶意请求检测模型的性能，同时

也证明了本文提出的检测模型对Web恶意请求具有出色的检测效果。

关键词：恶意请求检测，机器学习，网络安全，自监督学习，注意力机制

ABSTRACT

Webmaliciousrequests,whichrefertoHTTPrequestscontainingattackcodes,are

oneofthemostcommonlyusedattackmethodsagainstwebapplications.Theseattacks

willposesevereriskstowebservers,includingdataleakages,servicedisruptions,and

crashes.Therefore,howtodetectmaliciousWebrequestswithmoreefficientandquicker

methodshasbecomeacriticalresearchdirectioninthefieldofcybersecurity.Theexisting

methodsfordetectingwebmaliciousrequestshaveseverallimitations.Onetheonehand,

existingdetectionapproachesusuallyonlyanalyzetheURLfieldsofrequestmessages,

relyingonasingularmethodforfeatureextraction,whichweakensthegeneralization

abilityofdetectionmodels.Ontheotherhand,duetothevastnumberofwebrequests