一种网络攻击检测方法及装置与流程

本公开涉及信息安全技术领域，尤其涉及一种网络攻击检测方法及装置。

背景技术：

随着互联网与大数据的不断发展，网络深入到人们生活的各个领域中，渐渐成为一个无法取代的角色。海量、多变、井喷式增长的数据可以持续通过网络融入至人们的日常生活，给人们的生活带来了巨大的便利。但与此同时，在利益驱使下，一些网络攻击者往往利用网络谋取私利，给网络用户造成经济损失，影响公司的正常运作，甚至造成社会管理混乱。因此，在用户提交请求时检测并阻止攻击者的恶意请求已成为保护网站安全的重要措施。

相关技术中的网络攻击检测方法主要包括漏洞检测和web防御。漏洞检测是先于攻击者找到网站的漏洞并进行修复的方式，一般是通过渗透测试对网站进行漏洞检测。渗透测试结合了多方面的技术，一般分为信息收集、漏洞扫描、漏洞利用、获取权限、日志审计与渗透报告等步骤。渗透测试具有不完整性，不能够保证测试到网站的每一个网页，并且很难检测到新出现的攻击方式。web防御是在url传输阶段对url的合法性进行一系列的检测方法，以防范不良输入。web防御手段一般包括过滤、数据转义加密、屏蔽信息、检测防范模型等。检测防范模型是指在用户和服务器之间建立的检测机制，对用户提交的url进行检测，防范入侵攻击。传统的检测防范模型主要是基于正则表达式的模式匹配，但仅仅依靠敏感词匹配已经难以抵御不断更新的入侵攻击，不断更换新的检测防范方式对于网站开发人员来说工作量较大，并且在时间上很难及时根据新出现的攻击方法做出应对的检测防护策略。

因此，相关技术中亟需一种基于较少的样本数据也可以实现较高识别准确性的网站检测方法。

技术实现要素：

为克服相关技术中存在的问题，本公开提供一种网络攻击检测方法及装置。

根据本公开实施例的第一方面，提供一种网络攻击检测方法，包括：

获取网站请求；

利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。

根据本公开实施例的第二方面，提供一种网络攻击检测方法，包括：

获取网站请求；

将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用上述实施例所述的网络攻击检测方法检测所述网站请求。

根据本公开实施例的第三方面，提供一种网络攻击检测装置，包括：

获取模块，用于获取网站请求；

检测模块，用于利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。

根据本公开实施例的第四方面，提供一种网络攻击检测装置，包括：

获取模块，用于获取网站请求；

检测模块，用于将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用权利要求1-11中任意一项所述的网络攻击检测方法检测所述网站请求。

根据本公开实施例的第五方面，提供一种网络攻击检测装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

获取网站请求；

利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。

根据本公开实施例的第六方面，提供一种非临时性计算机可读存储介质，当所述存储介质中的指令由处理器执行时，使得处理器能够执行上述方法。

本公开各个实施例提供的网络攻击检测方法及装置，可以利用机器学习模型组件确定网站请求是否属于第一攻击类型，其中，所述机器学习模型组件可以利用属于所述第一攻击类型的第一网站请求样本集从属于第二攻击类型的第二网站请求样本集迁移学习得到。在第一网站请求样本集中样本数量不够充分的情况下，难以利用第一网站请求样本训练得到比较准确的机器学习模型组件。因此，在本公开的各个实施例中，可以从所述第二攻击类型的第二网站请求样本集中迁移学习，由于第二网站请求样本集中样本数量充足，计算得到各类参数的准确性较高，因此，通过所述第二网站请求样本集计算得到的部分参数可以对所述第一网站请求样本集具有修正作用，以提升机器学习模型组件的准确性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的一种网络攻击检测的方法流程图。

图2是根据一示例性实施例示出的一种网络攻击检测的方法流程图。

图3是根据一示例性实施例示出的一种网络攻击检测的方法流程图。

图4是根据一示例性实施例示出的一种网络攻击检测的方法流程图。

图5是根据一示例性实施例示出的一种网络攻击检测装置的框图。

图6是根据一示例性实施例示出的一种装置的框图。

图7是根据一示例性实施例示出的一种装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

为了方便本领域技术人员理解本申请实施例提供的技术方案，下面先对技术方案实现的技术环境进行说明。

在实际的网络环境中，攻击者也在通过不断变化攻击方式以攻破已有的防御措施。根据近几年关于主要网络攻击类型的统计数据发现，几乎每年的攻击类型都会发生变化。因此，当网络上出现新的攻击方式时，能够及时地建立能够准确识别这种新的攻击方式的机器学习模型是一种比较强烈的技术需求。但是，机器学习模型的准确性往往基于训练样本的数量，训练样本的数量越多，训练得到的机器学习模型往往越准确。但是，对于网络环境中刚刚出现的新攻击方式，往往难以获取充足的训练样本，因此难以训练得到比较准确的用于检测这种新攻击方式的机器学习模型。

基于类似于上文所述的实际技术需求，本公开提供的网络攻击检测方法将大量的其他攻击类型的训练样本中的信息迁移至少量的新的攻击方式的训练样本中，对所述新的攻击方式的训练样本进行修正，以提高新攻击方式对应的训练样本的准确性，从而获取更加准确的用于检测该新的网络攻击方式的机器学习模型。

下面结合附图对本公开所述的网络攻击检测方法进行详细的说明。图1是本公开提供的网络攻击检测方法的一种实施例的方法流程图。虽然本公开提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑性上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本公开实施例提供的执行顺序。

具体的本公开提供的网络攻击检测方法的一种实施例如图1所示，所述方法可以包括：

s101：获取网站请求；

s103：利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量属于所述第一攻击类型的第一网站请求样本集对第二数量的第二攻击类型的第二网站请求样本集迁移学习得到。

本实施例中，所述网站请求可以包括客户端中基于网络协议生成的字符串，通过将网站请求发送至服务器之后，可以从服务器获取到所需的数据。典型的网站请求例如可以包括http请求、file请求、mailto请求、ftp请求等等。在一个示例中，所述网站请求可以例如“http://www.bupt.edu.cn/content/content.php？p＝2_27_2300”这样的http请求。在获取到所述网站请求之后，可以利用机器学习模型组件确定所述网站请求是否属于第一攻击类型。其中，所述机器学习模型组件可以利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。

在一个示例性的应用场景中，当网络上出现一种新的网站攻击方式，且该网站攻击方式称为第一攻击类型。由于第一攻击类型的出现时间较短，因此所能获取的属于所述第一攻击类型的第一网站请求样本集中的样本数据数量有限。而机器学习模型组件的准确性一般基于充足的样本数量，因此，在本公开的一个实施例中，可以从具有充足的样本数量的第二攻击类型对应的第二网站请求样本集中进行迁移学习，以修正所述第一攻击类型对应的第一网站请求样本集由于样本数量有限而导致的训练结果不准确的问题。基于此，在本公开的一个实施例中，所述第二数量可以远远大于所述第一数量，所述第二数量与所述第一数量的比值大于等于1000。在一些示例中，所述第二数量和所述第一数量的比例可以包括1000:1、4000:1、5000:1等等。

如图2所示，在本公开的一个实施例中，所述机器学习模型组件可以被设置为按照下述方式训练得到：

s201：获取所述第一网站请求样本集和所述第二网站请求样本集。

s203：确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词。

s205：将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集中迁移至所述第一网站请求样本集中。

s207：根据所述第一网站请求样本集中的分词在样本集中的出现概率，训练得到用于检测所述第一攻击类型的机器学习模型组件。

在本实施例中，所述第一网站请求样本集和所述第二网站请求样本集可以包括数量较多的黑样本数据和白样本数据，其中，黑样本数据对应的网站请求属于第一攻击类型或者第二攻击类型，白样本数据对应的网站请求属于安全的网站请求。所述第二网站请求样本集的黑样本数据可以从github等此类已有的数据库中获取，例如，github数据库中可以包括丰富的跨站脚本(crosssitescripting，xss)攻击、结构化查询语言(structuredquerylanguage，sql)注入等样本数据。所述白样本数据可以从secrepo等此类数据库获取。当然，所述第二网站请求样本集还可以通过其他方式获取，如人工搜集或者从具有认证资格的第三方获取，本公开对于所述第二网站请求样本集的获取方式不限。在本公开的一个实施例中，为了保证迁移学习的准确性，可以获取与所述第一网站请求样本集具有相同类别的第二网站请求样本集。例如，通过在请求中注入恶意字符串的攻击方式分类中，主要有xss攻击和sql注入等类型，但是这两种类型分别又具有多种子类型，例如，xss攻击可以包括反射型xss、存储型xss、文档对象模型(documentobjectmodel，dom)型xss等多种子类型，sql注入又可以包括强制产生错误的注入、基于推断的注入、使用特殊字符的注入、利用存储过程的注入、避开输入过滤技术的注入等多种子类型。基于此，当确定所述第一攻击类型的基本类型之后，如属于xss攻击还是sql攻击，可以获取与所述第一网站请求样本集具有相同类别的第二网站请求样本集。当然，以上关于网站攻击，类型的划分只属于其中一种方式，本实施例旨在获取到与所述第一网站请求样本集在网站攻击类型上更加接近的第二网站请求样本集，以提升所述第一网站请求样本集和所述第二网站请求样本集之间的相似度。

本公开实施例中，在获取到所述第一网站请求样本集和所述第二网站请求样本集之后，可以确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词。在本公开的一个实施例中，在确定所述具有相同重要程度的分词的过程中，可以分别提取所述第一网站请求样本集和所述第二网站请求样本集中样本数据的分词。在此过程中，可以分别对所述第一网站请求样本集和所述第二网站请求样本集中样本数据进行分词处理。具体地，由于所述样本数据为格式为字符串的网站请求，因此，可以对所述字符串进行切割处理，例如，将所述字符串按照单位切割长度为5进行切割，即将所述字符串每5个字符切割一次。但是，在实际情况下，网站请求中有很多通用格式的字符串或者字符，如“http://”、“www.”、“.edu”、“.com”、“.cn”、“/”、“.”等等。对于上述字符或者字符串，对于识别网站攻击类型上往往价值较低，影响机器学习的效果。因此，可以对所述样本数据对应的字符串进行数据清洗，在一个示例中，可以对样本数据“http://www.bupt.edu.cn/content/content.php？p＝2_27_2300”清洗并切割之后，得到“conte”、“nt/co”、“ntent”、“.php？”“p＝2_2”、“7_230”等多个分词。当然，上述切割方式只是提取所述网站请求进行分词的一种方式，例如在上述示例中，单位切割长度和切割步长均为5，还可以按照单位切割长度为5、切割步长为2的方式进行切割，则可以得到“conte”、“ntent”、“ent/c”、“t/con”、“conte”、“ntent.”、“ent.p”、“t.php”、“php？p”、“p？p＝2”、“p＝2_2”、“2_27_”、“27_23”、“_2300”等多个分词。本实施例中的分词提取方式，可以适用于对数据量较大的第二网站请求样本集的分词提取，且该方式可以对于加密的网站请求和不加密的网站请求均可适用。

在一些情况下，网站请求可能已进行加密处理，如url编码，base64加密等等。当然还有一些恶意加密方式，可以在网站请求中过滤一些具有攻击型的词，使得加密过后的网站请求可以绕过简单的黑白名单过滤。基于此，在本公开的一个实施例中，可以对所述网站请求进行解密处理，解密处理之后的网站请求往往格式明确，不同的关键词之间具有明确的分隔符，所述分隔符例如“//”、“.”“？”等等。因此，可以对解密之后的网站请求按照分隔符进行分词提取。在一个示例中，对于解密后的网站请求“http://www.bupt.edu.cn/content/content.php？p＝2_27_2300”，按照分隔符切割的方式，可以提取到“http”,”www”,”bupt”,”edu”,”cn”,”content”,”content”,”php”,”p＝2_27_2300”等多个分词。需要说明的是，对于分词提取的方式，还可以包括其他多种方式，如机器学习方式等，本公开对于提取所述样本数据中分词的方式不限。

在本公开的一个实施例中，在分别提取所述第一网站请求样本集和所述第二网站请求样本集中样本数据的分词之后，可以分别计算所述分词在所在样本集中的词权重值。也就是说，在本实施例中，可以利用分词的词权重值表示所述分词在所在样本集中的重要程度。在本公开的另一个实施例中，所述词权重值可以包括所述分词的词频-逆文本频率指数(tf-idf指数)，所述分词的tf-idf指数可以随着所述分词在所述第一网站请求样本集中黑样本的出现次数成正比增加，但同时也随着该分词在整个所述第一网站请求样本集中出现的次数成反比下降。本实施例中，所述tf-idf指数可以更加准确地表达分词在样本集中的重要程度。在计算得到分词的tf-idf指数之后，可以对每个样本数据设置一个稀疏矩阵，用于表示所述样本数据中各个分词对应的tf-idf指数。所述稀疏矩阵可以包括多个三元组，即对于单个分词，可以采用三元组的方式表示其tf-idf指数，例如所述三元组可以表示为{(0,37)0.138}，其中，(0,37)表示分词在样本数据中的位置，0.138表示该分词的tf-idf指数。

在对所述第一网站请求样本集进行机器学习的过程中，往往涉及到所述第一网站请求样本集中的分词在所述第一网站请求样本集中的出现概率，词w在样本集中的出现概率p(w)的可以用下述公式(1)表示：

其中，p(w)的精确度往往依赖于样本数量以及样本集中样本的全面性，因此，在样本数量较少的样本集中的p(w)往往准确性较低，与其真实水平具有较大差别。基于此，在本公开的实施例中，可以将分词的p(w)从样本数量较多的样本集中迁移至样本数量较少的样本集中，以优化样本数量较少的样本集中分词的p(w)。根据大数定律，可以确定对于第一网站请求样本集中具有代表性的词和第二网站请求样本集中具有代表性的词在经过tf-idf转换后都具有正态分布规律，于是将第二网站请求样本集中和第一网站请求样本集的词w具有相同重要程度的词z的出现概率p(z)迁移至p(w)。这样，可以提升第一网站请求样本集中分词w对应的p(w)的准确度。在本公开的一个实施例中，所述第一网站请求样本集的分词w和所述第二网站请求样本集中的分词z具有相同重要程度可以包括，分词w在第一网站请求样本集中的词权重值和分词z在第二网站请求样本集中的词权重值之间的差值在预设范围之内。在一个示例中，设置所述预设范围为误差值为5％，若分词w在第一网站请求样本集中的tf-idf指数为0.138，分词z在第二网站请求样本集中的tf-idf指数为0.136，则误差值为(0.138-0.136)/0.138＝1.45％，由于1.45％小于5％，则可以确定分词w在第一网站请求样本集中与分词z在第二网站请求样本集中具有相同重要程度。因此，可以将分词z在第二网站请求样本集中的出现概率p(z)赋值给分词w在第一网站请求样本集中的出现概率p(w)。

在本公开实施例中，确定所述第一网站请求样本集中分词的出现概率之后，可以根据所述第一网站请求样本集中的分词在样本集中的出现概率，训练得到用于检测所述第一攻击类型的机器学习模型组件。在本公开的一个实施例中，所述机器学习模型组件可以包括利用朴素贝叶斯算法训练得到的分类器。基于此，如图3所示，构建所述分类器可以包括：

s301：构建分类器，将所述第一网站请求样本集中的样本数据、所述样本数据中分词的出现概率作为所述分类器的输入，将所述样本数据的分类结果作为所述分类器的输出；

s303：将所述第一攻击类型的出现概率以及在已知是所述第一攻击类型的情况下出现所述分词的条件概率作为所述分类器的训练参数，利用朴素贝叶斯算法对所述分类器进行训练，调整所述训练参数，直至所述分类器达到预设要求。

下面通过以下公式(2)说明上述实施例方法，设定第一攻击类型为x1，确定网站请求可以用字符串表示，该字符串可以被切割成n个分词，分别为词1、词2、…、词n，则该字符串属于x1的条件概率可以用公式(2)所示的朴素贝叶斯公式表示。根据朴素贝叶斯算法的独立性假设，各个分词之间是相互独立的关系，因此，p(字符串|x1)＝p(词1|x1)p(词2|x1)…p(词n|x1)，p(字符串)＝p(词1)p(词2)…p(词n)，而p(词1)、p(词2)、…、p(词n)可以通过迁移学习的方式从第二网站请求样本集中迁移过来，因此，在本实施例中，训练所述分类器的目标在于将p(词1|x1)、p(词2|x1)、…、p(词n|x1)、p(x1)作为分类器的训练参数，不断调整训练参数的值，直至所述分类器达到预设要求。所述预设要去例如包括该分类器的误差率小于预设值等。在所述分类器达到预设要求之后，可以存储所述训练参数的值，当在后续应用该分类器时，可以直接调用分类器中的训练参数的值。

在对该分类器的应用阶段，可以将网站请求对应的字符串输入至该分类器，获取该网站请求为第一攻击类型的概率。在一个实施例中，若所述概率大于等于概率阈值时，则确定该网站请求属于攻击类型。所述概率阈值例如可以设置为0.6、0.7、0.8等等。在确定所述网站请求为第一攻击类型之后，可以拦截该网站请求。反之，当所述概率小于所述概率阈值时，则可以确定该网站请求属于安全请求。

需要说明的是，所述机器学习模型组件不限于上述利用朴素贝叶斯算法训练得到的分类器，所述机器学习模型组件还可以包括逻辑回归分类器、支持向量机分类器、基于神经网络的分类器等等，本公开对于机器学习模型组件的学习方式不做限制。

本公开各个实施例提供的网络攻击检测方法，可以利用机器学习模型组件确定网站请求是否属于第一攻击类型，其中，所述机器学习模型组件可以利用属于所述第一攻击类型的第一网站请求样本集从属于第二攻击类型的第二网站请求样本集迁移学习得到。在第一网站请求样本集中样本数量不够充分的情况下，难以利用第一网站请求样本训练得到比较准确的机器学习模型组件。因此，在本公开的各个实施例中，可以从所述第二攻击类型的第二网站请求样本集中迁移学习，由于第二网站请求样本集中样本数量充足，计算得到各类参数的准确性较高，因此，通过所述第二网站请求样本集计算得到的部分参数可以对所述第一网站请求样本集具有修正作用，以提升机器学习模型组件的准确性。

本公开另一方面还提供一种网络攻击检测方法，如图4所示，所述方法包括：

s401：获取网站请求；

s403：将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用上述任一实施例所述的网络攻击检测方法检测所述网站请求。

本公开实施例中，可以利用多个机器学习模型组件计算网站请求属于不同攻击类型的概率。其中，所述多个机器学习模型组件中的至少一个利用上述任一实施例所述的网络攻击检测方法检测所述网站请求。例如，有四个机器学习模型组件，分别用于识别第一攻击类型、第二攻击类型、第三攻击类型、第四攻击类型。对于计算结果，若至少一个机器学习模型组件计算得到所述网站请求属于攻击类型的概率值大于安全阈值，则确定所述网站请求属于有害请求。并将概率值最大的攻击类型作为该网站请求的攻击类型。若四个组件的计算结果均未超出所设安全阈值，则认为该网站请求为安全请求，允许服务器响应该网站请求。若有且仅有一个组件的计算结果超出所设安全阈值，则报告该攻击类型且对该请求进行拦截。利用本公开实施例的方法，可以准确地确定网站请求所属的攻击类型，进一步地，可以有助于各网站获取本站的安全态势，针对性地加强防御措施。

本公开另一方面还提供一种网站攻击检测装置，图5是根据一示例性实施例示出的网站攻击检测装置500的框图。参照图5，该装置包括应用获取模块501、检测模块503，其中，

获取模块501，用于获取网站请求；

检测模块503，用于利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。

可选的，在本公开的一个实施例中，所述第二数量与所述第一数量的比值大于等于1000。

可选的，在本公开的一个实施例中，所述机器学习模型组件被设置为按照下述方式训练得到：

获取所述第一网站请求样本集和所述第二网站请求样本集；

确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词；

将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集中迁移至所述第一网站请求样本集中；

根据所述第一网站请求样本集中的分词在样本集中的出现概率，训练得到用于检测所述第一攻击类型的机器学习模型组件。

可选的，在本公开的一个实施例中，所述确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词包括：

分别提取所述第一网站请求样本集和所述第二网站请求样本集中样本数据的分词；

分别计算所述分词在所在样本集中的词权重值；

根据所述词权重值，确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词。

可选的，在本公开的一个实施例中，所述根据所述词权重值，确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词包括：

在确定所述第一网站请求样本集和所述第二网站请求样本集中两个分词的词权重值的差值在预设范围之内的情况下，确定所述两个分词具有相同重要程度。

可选的，在本公开的一个实施例中，所述词权重值包括词频-逆文本频率指数。

可选的，在本公开的一个实施例中，所述将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集迁移至所述第一网站请求样本集中包括：

获取所述第二网站请求样本集中各个分词在所述第二网站请求样本集中的出现概率；

将所述第二网站请求样本集中分词的出现概率赋值给所述第一网站请求样本集中具有相同重要程度的分词。

可选的，在本公开的一个实施例中，所述机器学习模型组件包括利用朴素贝叶斯算法训练得到的分类器。

可选的，在本公开的一个实施例中，所述根据所述第一网站请求样本集中的分词在样本集中的出现概率，训练得到用于检测所述第一攻击类型的机器学习模型组件包括：

构建分类器，将所述第一网站请求样本集中的样本数据、所述样本数据中分词的出现概率作为所述分类器的输入，将所述样本数据的分类结果作为所述分类器的输出；

将所述第一攻击类型的出现概率以及在已知是所述第一攻击类型的情况下出现所述分词的条件概率作为所述分类器的训练参数，利用朴素贝叶斯算法对所述分类器进行训练，调整所述训练参数，直至所述分类器达到预设要求。

可选的，在本公开的一个实施例中，还包括：

拦截模块，用于在确定所述网站请求属于所述第一攻击类型的情况下，拦截所述网站请求。

本公开另一方面还提供一种网站攻击检测装置，包括：

获取模块，用于获取网站请求；

检测模块，用于将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用权利要求1-10中任意一项所述的网络攻击检测方法检测所述网站请求。

图6是根据一示例性实施例示出的一种用于资源分配指示的装置700的框图。例如，装置700可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图6，装置700可以包括以下一个或多个组件：处理组件702，存储器704，电源组件706，多媒体组件708，音频组件710，输入/输出(i/o)的接口712，传感器组件714，以及通信组件716。

处理组件702通常控制装置700的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件702可以包括一个或多个处理器720来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件702可以包括一个或多个模块，便于处理组件702和其他组件之间的交互。例如，处理组件702可以包括多媒体模块，以方便多媒体组件708和处理组件702之间的交互。

存储器704被配置为存储各种类型的数据以支持在装置700的操作。这些数据的示例包括用于在装置700上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器704可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

电源组件706为装置700的各种组件提供电力。电源组件706可以包括电源管理系统，一个或多个电源，及其他与为装置700生成、管理和分配电力相关联的组件。

多媒体组件708包括在所述装置700和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触敏显示器，以传输来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件708包括一个前置摄像头和/或后置摄像头。当装置700处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以传输外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件710被配置为输出和/或输入音频信号。例如，音频组件710包括一个麦克风(mic)，当装置700处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为传输外部音频信号。所传输的音频信号可以被进一步存储在存储器704或经由通信组件716发送。在一些实施例中，音频组件710还包括一个扬声器，用于输出音频信号。

i/o接口712为处理组件702和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件714包括一个或多个传感器，用于为装置700提供各个方面的状态评估。例如，传感器组件714可以检测到装置700的打开/关闭状态，组件的相对定位，例如所述组件为装置700的显示器和小键盘，传感器组件714还可以检测装置700或装置700一个组件的位置改变，用户与装置700接触的存在或不存在，装置700方位或加速/减速和装置700的温度变化。传感器组件714可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件714还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件714还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件716被配置为便于装置700和其他设备之间有线或无线方式的通信。装置700可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件716经由广播信道传输来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件716还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在示例性实施例中，装置700可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器704，上述指令可由装置700的处理器720执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。

图7是根据一示例性实施例示出的一种用于信息处理的装置800的框图。例如，装置800可以被提供为一服务器。参照图7，装置800包括处理组件822，其进一步包括一个或多个处理器，以及由存储器832所代表的存储器资源，用于存储可由处理组件822的执行的指令，例如应用程序。存储器832中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件822被配置为执行指令，以执行上述任一实施例所述的方法。

装置800还可以包括一个电源组件826被配置为执行装置800的电源管理，一个有线或无线网络接口850被配置为将装置800连接到网络，和一个输入输出(i/o)接口858。装置800可以操作基于存储在存储器832的操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm或类似。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器832，上述指令可由装置800的处理组件822执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。