OMRDetector:一种基于深度学习的混淆恶意请求检测方法

Web恶意请求检测旨在快速精确地识别网络中的异常攻击.当前Web恶意请求复杂多元、混淆明显,传统的检测技术存在过度依赖人工经验和规则库、易被绕过、误报率高,且忽略Web恶意请求特征语义关系等问题,无法第一时间感知未知网络攻击,无法对抗混淆和加密的恶意请求.为此,本文设计并首次将三层CNN-BiLSTM融合注意力机制的模型应用于混淆恶意请求检测领域,并针对混淆的Web恶意请求特点进行模型优化,提出了一种基于深度学习的混淆恶意请求检测模型OMRDetector.该模型针对混淆恶意请求特征,提出抗混淆预处理方法,利用三层卷积神经网络(CNN)获取Web请求的局部特征,再引入双向长短时记忆(BiLSTM)网络捕获混淆恶意请求的长距离依赖关系以及上下文语义特征,通过注意力机制突出关键特征,最终由Softmax分类器计算恶意请求的检测结果,从而实现对抗混淆和检测未知恶意请求攻击.实验结果表明,本文所提出的模型能有效检测出隐蔽性较高且带混淆加密的Web恶意请求,相比于现有模型在精确率、召回率、F_(1)值和准确率上均有所提升,对应值分别为97.734%、97.737%、97.735%和97.754%.OMRDetector模型恶意请求的漏报数量(1226个)和误报数量(1244个)均最少,其对混淆恶意请求的识别效果优于传统的机器学习模型(包括逻辑回归、决策树、朴素贝叶斯、支持向量机、随机森林和AdaBoost)以及现有深度学习模型(包括CNN、TextCNN、LSTM、BiLSTM、BiLSTM+Attention).此外,本文结合Web请求恶意混淆的特点,归纳总结了Web恶意请求攻击常见的十二大类混淆方法,分别是大小写混淆、关键词复写混淆、含注释绕过混淆、特殊字符截断混淆、路径绕过混淆、URL编码转换、特殊功能关键词混淆、组合规则绕过逻辑混淆、等价函数替换混淆、Base64编码转换、DES加密和流量魔改混淆,且最后两类混淆将用于评估OMRDetector模型对未知类型(无训练学习过程)的Web恶意请求的检测及对抗能力.为进一步验证OMRDetector模型能更好地检测混淆恶意请求,本文进行详细的对比实验,最终证明OMRDetector能有效检测Web恶意请求的各种混淆类型并较好地感知未知类型的Web恶意请求攻击,具有一定的学术价值和应用前景.