(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210915207.6 (22)申请日 2022.08.01 (65)同一申请的已公布的文献号 申请公布号 CN 114969351 A (43)申请公布日 2022.08.30 (73)专利权人 长沙市智为信息技 术有限公司 地址 410221 湖南省长 沙市高新区文 轩路 27号麓谷企业广场E 6栋5楼 (72)发明人 黄惟　康占英　王青　李芳芳　 刘志　 (74)专利代理 机构 长沙惟盛赟鼎知识产权代理 事务所(普通 合伙) 43228 专利代理师 张丁日 (51)Int.Cl. G06F 16/35(2019.01)G06N 20/00(2019.01) G06F 16/955(2019.01) H04L 9/40(2022.01) H04L 67/02(2022.01) (56)对比文件 US 2022147622 A1,202 2.05.12 审查员 徐晓孜 (54)发明名称 一种基于超图聚合网络的Web攻击检测方法 及装置 (57)摘要 本申请公开提供了一种基于超图聚合网络 的Web攻击检测方法及装置， 其中， 该方法包括： 获取HTTP请求文本 数据； 对HTTP请求文本 数据进 行预处理； 将预处理后的HTTP请求文本 数据转换 为字符级顶点表示， 以空格作为预处理后的HTTP 请求文本 数据的分隔符生 成超边集合， 根据超边 集合和顶 点表示得到关联矩阵； 将顶 点表示和关 联矩阵输入 预先训练的超图聚合网络模型， 得到 Web攻击检测结果， 超 图聚合网络模型中的每一 层包括顶 点聚合模块和超边聚合模块， 解决了 现 有技术中， 超图网络分类器采用卷积或者注意力 机制进行信息的融合和计算， 在字符级的HTTP 文 本请求中由于字符所包含的语义信息没有单词 的语义信息多， 效果大打折扣的问题。 权利要求书2页 说明书13页 附图2页 CN 114969351 B 2022.10.25 CN 114969351 B 1.一种基于超图聚合网络的Web攻击检测方法， 其特 征在于， 包括： 获取HTTP请求文本数据； 对所述HT TP请求文本数据进行 预处理； 将预处理后的HTTP请求文本数据转换为字符级顶点表示， 以空格作 为预处理后的HTTP 请求文本数据的分隔符生成超边 集合， 根据所述超边 集合和顶点表示得到关联矩阵； 将所述顶点表示和关联矩阵输入预先训练的超图聚合网络模型， 得到Web攻击检测结 果， 所述超图聚合网络模型中的每一层包括顶点聚合模块和超边聚合模块； 所述将所述顶点表示和关联矩阵输入预先训练的超图聚合网络模型， 得到Web攻击检 测结果包括： 获取计算前的顶点表示 ， 并通过关联矩阵A得到第j个超边 ， 则根据公式 与公式 得到 在第l层中的每条超边的表示 ； 式中 都为可训练矩阵， 表示非线性激活函 数， 取 Relu函数作为激活函数， mean表示取平均值函数， normalize表示归一化函数， 通过公式 计算顶点k的归纳表示 ， 然后根据公式 计算所有属于超边 的顶点的归纳表示 的和， 得到第 l层超 边j的表示 ， 通过对所有超边进行计算， 则可 得到超边表示 ； 将关联矩阵A 进行转置， 得到顶点 所关联的超边的集合 ， 根据公式 以及公式 计算出第 l层的每个顶点 的表示 ； 式中 都为可训练矩阵， 取与顶点 相关联的所有超边表示的平均值， 利用公 式 计算出超边 的归纳表示 ， 然 后根据公式 计算出所有与顶点 相关联的超边的归纳表示的和， 得到顶权　利　要　求　书 1/2 页 2 CN 114969351 B 2点i的表示 ， 通过对所有顶点的计算， 则可 得到顶点表示 ； 重复上述两个步骤 l次，l为超图聚合网络模型的层数， 取 l为预设阈值， 通过多次融合 各顶点以及各超边的信息得到最终的顶点表示 ； 取所有顶点信 息表示的平均值作为输出的信 息， 输出信 息的维度d为预设阈值， 然后经 过一个全连接层将维度降为预设阈值， 得到二分类结果， 所述二分类结果为Web攻击检测结 果， 公式为 式中 和 是全连接层的可训练矩阵， y表示预测的标签分数。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述HTTP请求文本数据进行预处理 包括： 采用两次应用层通用URL 解码操作对HT TP请求文本数据进行解码； 对解码后的HTTP请求文本数据 中的requests和body字段进行正常网址的规则替换操 作； 去除各字段中的重复信息和字段键值以减小数据长度。 3.根据权利要求1所述的方法， 其特征在于， 所述将预处理后的HTTP请求文本数据转换 为字符级顶点表示包括： 从UTF‑8字符集中取前预设数量的常用字符作为词汇表， 所述词汇表能够涵盖HTTP请 求文本数据中90%的字符； 对所述词汇表中预设数量的字符进行词嵌入表示， 得到词向量， 采用随机词嵌入的方 式， 并将字符的嵌入维度d设置为预设阈值； 将预处理后的HTTP请求文本数据中的所有字符取出作为一个集合， 集合大小为超图的 顶点数目N， 然后将集合中的每个字符经过所述词向量映射得到顶点的表示 ， 式中set表示集合生成， embed ding表示词向量映射， X表示ht tp请求文本数据。 4.根据权利要求1所述的方法， 其特征在于， 所述以空格作为预处理后的HTTP请求文本 数据的分隔符生成超边 集合， 根据所述超边 集合和顶点表示得到关联矩阵包括： 用一个关联矩阵 表示预处理后的HTTP请求文本数据中的超边的连接关系， 其 中N表示顶点数目和M表示超边数目， 将关联矩阵A初始化 为0； 对于一个预处理后的HTTP请求文本数据， 用空格分割出M个预处理后的HTTP请求文本 数据的句子作为超边集合 ， 一个句子由多个顶点 组成， 当超边 与第i个 顶点 相关时， ,否则 ， 计算过程如公式 所示， 遍历 所有超边则可计算出完整的关联矩阵A。权　利　要　求　书 2/2 页 3 CN 114969351 B 3