(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111642850.8 (22)申请日 2021.12.2 9 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 蔡鑫　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　李建忠 (51)Int.Cl. G06F 21/55(2013.01) G06F 40/284(2020.01) G06F 40/126(2020.01) G06N 20/00(2019.01) (54)发明名称 攻击检测方法、 装置、 介质及设备 (57)摘要 本申请属于网络技术与安全技术领域， 具体 涉及一种攻击检测方法、 攻击检测装置、 计算机 可读介质及电子设备。 该方法包括： 获取待检测 请求序列， 并对待检测请求序列进行分词处理， 得到待检测请求序列的分词； 对分词进行编码处 理， 得到分词对应的序列编码； 对序列编码进行 特征提取， 得到第一隐层特征； 获取预训练的片 段定位器， 对第一隐层特征和片段定位器进行特 征提取， 得到第二隐层特征； 对第二隐层特征进 行回归处理， 得到待检测请求序列的攻击片段的 片段起点位置、 片段终点位置以及片段类型。 本 申请能够实现对于攻击片段的片段位置和片段 类型的预测， 能够有效地检测出隐藏在请求中的 攻击片段， 进而能够提高对于网络攻击的防范效 果。 权利要求书2页 说明书12页 附图6页 CN 114297640 A 2022.04.08 CN 114297640 A 1.一种攻击检测方法， 其特 征在于， 包括： 获取待检测请求序列， 并对待检测请求序列进行分词处理， 得到所述待检测请求序列 的分词； 对所述分词进行编码处 理， 得到所述分词对应的序列编码； 对所述序列编码进行 特征提取， 得到第一隐层特 征； 获取预训练的片段定位器， 所述片段定位器用于定位所述待检测请求序列中预设数量 个的具有预设特 征的片段； 对所述第一隐层特 征和所述片段定位器进行 特征提取， 得到第二隐层特 征； 对所述第二隐层特征进行回归处理， 得到所述待检测请求序列的攻击片段的片段起点 位置、 片段终点 位置以及片段类型， 所述片段类型用于表示片段的攻击类型。 2.根据权利要求1所述的攻击检测方法， 其特征在于， 所述对所述序列编码进行特征提 取， 得到第一隐层特 征， 包括： 将所述序列编码输入到预训练 的机器学习 模型的编码特征提取器中， 得到所述第 一隐 层特征； 所述对所述第一隐层特 征和所述片段定位器进行 特征提取， 得到第二隐层特 征， 包括： 将所述第一隐层特征和所述片段定位器输入到预训练的机器学习模型的解码特征提 取器中， 得到第二隐层特 征。 3.根据权利要求2所述的攻击检测方法， 其特征在于， 在所述将所述序列编码输入到预 训练的机器学习模型的编码特 征提取器中， 得到所述第一隐层特 征之前， 所述方法还 包括： 将训练请求序列输入到所述机器学习 模型中， 以所述训练请求序列中各个攻击片段的 片段起点位置、 片段终点 位置以及片段类型作为输出， 对所述机器学习模型进行训练。 4.根据权利要求3所述的攻击检测方法， 其特征在于， 在对所述机器学习 模型进行训练 的过程中， 所述方法还 包括： 根据模型输出的攻击片段的位置与所述训练请求序列中实际的攻击片段的位置计算 第一损失值， 所述第一损失值用于表示模型输出的攻击片段的位置与所述训练请求序列中 实际的攻击片段的位置的差异； 根据模型输出的攻击片段的片段类型与所述训练请求序列中实际的攻击片段的片段 类型计算第二损失值， 所述第二损失值用于表示模型输出的攻击片段的片段类型与所述训 练请求序列中实际的攻击片段的片段类型的差异； 对所述第一损失值和所述第二损失值进行加权求和得到综合损失值； 当所述综合损失值小于预设值时， 结束对所述机器学习模型的训练。 5.根据权利要求4所述的攻击检测方法， 其特征在于， 所述根据模型输出的攻击片段的 位置与所述训练请求序列中实际的攻击片段的位置计算第一损失值， 包括： 当所述根据模型输出的攻击片段的位置与所述训练请求序列中实际的攻击片段的位 置的对应关系无法确定时， 得到模型输出的攻击片段的位置与所述训练请求序列中实际的 攻击片段的位置的多个匹配关系； 根据各个匹配关系分别计算对应的备选第一损失值； 将各个所述备选第一损失值中最小的值作为所述第一损失值。 6.根据权利要求4所述的攻击检测方法， 其特征在于， 在对所述机器学习 模型进行训练权　利　要　求　书 1/2 页 2 CN 114297640 A 2的过程中， 所述对所述第一损失值和所述第二损失值进行加权求和得到综合损失值， 包括： 初始化第一权 重、 第二权 重和修正参数； 将所述第一权重作为所述第 一损失值的权重， 将所述第 二权重作为所述第 二损失值的 权重； 将所述第一损 失值与所述第一权重相乘， 将所述第二损 失值与所述第二权重相乘， 将 所述第一损失值与所述第一权重相乘得到的值与所述第二损失值与所述第二权重相乘得 到的值相加得到中间值； 通过与所述修正参数相加或相乘的方式， 对所述中间值进行修正， 得到所述综合损 失 值。 7.根据权利要求3所述的攻击检测方法， 其特征在于， 所述片段定位器包括请求数量参 数、 攻击片段数量参数以及向量维数参数， 其中， 所述请求数量参数、 所述攻击片段数量参 数以及所述向量维数参数均在模型训练过程中优化， 其中， 所述请求数量参数用于表示所 述待检测请求序列所包括的预计请求条数， 所述攻击片段数量参数用于表示所述待检测请 求序列中所包括的攻击片段的预计数量， 所述向量维度参数用于表示预训练得到的机器学 习模型的运 算向量的向量维数。 8.一种攻击检测装置， 其特 征在于， 包括： 分词模块， 被配置为获取待检测请求序列， 并对待检测请求序列进行分词处理， 得到所 述待检测请求序列的分词； 编码模块， 被 配置为对所述分词进行编码处 理， 得到所述分词对应的序列编码； 第一特征提取模块， 被 配置为对所述序列编码进行 特征提取， 得到第一隐层特 征； 定位器获取模块， 被配置为获取预训练的片段定位器， 所述片段定位器用于定位所述 待检测请求序列中预设数量个的具有预设特 征的片段； 第二特征提取模块， 被配置为对所述第一 隐层特征和所述片段定位器进行特征提取， 得到第二隐层特 征； 回归模块， 被配置为对所述第二 隐层特征进行回归处理， 得到所述待检测请求序列的 攻击片段的片段起点位置、 片段终点位置以及片段类型， 所述片段类型用于表示片段的攻 击类型。 9.一种计算机可读介质， 其特征在于， 其上存储有计算机程序， 该计算机程序被处理器 执行时实现权利要求1至7中任意 一项所述的方法。 10.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任意一项所 述的方法。权　利　要　求　书 2/2 页 3 CN 114297640 A 3