Web恶意请求检测旨在快速精确地识别网络中的异常攻击.当前Web恶意请求复杂多元、混淆明显,传统的检测技术存在过度依赖人工经验和规则库、易被绕过、误报率高,且忽略Web恶意请求特征语义关系等问题,无法第一时间感知未知网络攻击,无法对抗混淆和加密的恶意请求.为此,本文设计并首次将三层CNN-BiLSTM融合注意力机制的模型应用于混淆恶意请求检测领域,并针对混淆的Web恶意请求特点进行模型优化,提出了一种基于深度学习的混淆恶意请求检测模型OMRDetector.该模型针对混淆恶意请求特征,提出抗混淆预处理方法,利用三层卷积神经网络(CNN)获取Web请求的局部特征,再引入双向长短时记忆(BiLSTM)网络捕获混淆恶意请求的长距离依赖关系以及上下文语义特征,通过注意力机制突出关键特征,最终由Softmax分类器计算恶意请求的检测结果,从而实现对抗混淆和检测未知恶意请求攻击.实验结果表明,本文所提出的模型能有效检测出隐蔽性较高且带混淆加密的Web恶意请求,相比于现有模型在精确率、召回率、F1值和准确率上均有所提升,对应值分别为97.734％、97.737％、97.735％和97.754％.OMRDetector模型恶意请求的漏报数量(1226个)和误报数量(1244个)均最少,其对混淆恶意请求的识别效果优于传统的机器学习模型(包括逻辑回归、决策树、朴素贝叶斯、支持向量机、随机森林和AdaBoost)以及现有深度学习模型(包括CNN、TextCNN、LSTM、BiLSTM、BiLSTM+Attention).此外,本文结合Web请求恶意混淆的特点,归纳总结了 Web恶意请求攻击常见的十二大类混淆方法,分别是大小写混淆、关键词复写混淆、含注释绕过混淆、特殊字符截断混淆、路径绕过混淆、URL编码转换、特殊功能关键词混淆、组合规则绕过逻辑混淆、等价函数替换混淆、Base64编码转换、DES加密和流量魔改混淆,且最后两类混淆将用于评估OMRDetector模型对未知类型(无训练学习过程)的Web恶意请求的检测及对抗能力.为进一步验证OMRDetector模型能更好地检测混淆恶意请求,本文进行详细的对比实验,最终证明OMRDetector能有效检测Web恶意请求的各种混淆类型并较好地感知未知类型的Web恶意请求攻击,具有一定的学术价值和应用前景.

混淆恶意请求检测;对抗混淆;卷积神经网络;双向长短时记忆;注意力机制;深度学习;网络安全

杨秀璋;彭国军;罗元;宋文纳;张杰;操方涛

武汉大学空天信息安全与可信计算教育部重点实验室 武汉 430072;武汉大学国家网络安全学院 武汉 430072

计算机学报

[1]杨秀璋;彭国军;罗元;宋文纳;张杰;操方涛-.OMRDetector:一种基于深度学习的混淆恶意请求检测方法)[J].计算机学报,2022(10):2167-2189

OMRDetector,混淆恶意请求检测,对抗混淆,BiLSTM+Attention,Base64,混淆类型

识别网络,异常攻击,技术存在,规则库,绕过,误报率,语义关系,时间感知,网络攻击,注意力机制,模型应用,检测领域,模型优化,检测模型,预处理方法,局部特征,再引入,双向长短时记忆,长距离依赖,依赖关系,上下文语义,语义特征,关键特征,Softmax,分类器,有效检测,隐蔽性,现有模型,精确率,召回率,漏报,报数,机器学习模型,逻辑回归,决策树,朴素贝叶斯,AdaBoost,有深度,深度学习模型,TextCNN,十二大,大小写,复写,特殊字符,URL,编码转换,特殊功能,等价,DES,知类,训练学,学习过程,学术价值

0.245394