(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114221802A(43)申请公布日2022.03.22(21)申请号202111517688.7(22)申请日2021.12.13(71)申请人四川启睿克科技有限公司地址610000四川省成都市中国（四川）自由贸易试验区成都高新区天府四街199号1栋33层(72)发明人张文静(74)专利代理机构四川省成都市天策商标专利事务所(有限合伙)51213代理人刘兴亮(51)Int.Cl.H04L9/40(2022.01)H04L41/14(2022.01)G06F30/27(2020.01)G06N3/04(2006.01)权利要求书2页说明书5页附图1页(54)发明名称一种web攻击溯源方法(57)摘要本发明公开了一种web攻击溯源方法，通过把采集到的web攻击特征，包括攻击路线，攻击手段等以标准化流的方法进行web攻击溯源，通过一系列可逆变换函数将一个简单的分布转化为一个复杂的分布；在一串变换中，将变量变换定理重复地进行变量替换，并最终得到目标变量即目标攻击者的概率分布；标准化流模型具有良好的可逆性和可微性，可对web攻击手段，攻击路径及其变种样本进行计算及概率分布进行追踪，从而达到web攻击溯源的目的，提升web攻击溯源准确率。CN114221802ACN114221802A权利要求书1/2页1.一种web攻击溯源方法，其特征在于，包括以下步骤：步骤1，搜集大量已知web攻击样本，建立web攻击样本数据集x∈Xi，定义样本为连续均匀分布的向量；步骤2，逆变换采样，以雅可比矩阵行列式的方式读取样本数据集中的向量，建立双射函数f，通过双射函数经过一系列的可逆映射把原始分布转换成新的分布，每个双射函数可以写成一个网络的层，建立原始分布和新分布之间双向可逆通道；步骤3，Tensorflow转换分布，把拟合真实数据的分布问题变成拟合变换后的概率对数密度问题；逆变换采样后分布f(x)其概率密度函数值为P(x)，因为在i维空间中x与y一一对应，所以从dx体积映射到dy体积时，体积内包含的概率之和不变，那么被积分的部分绝对值必定处处相等，此处采用Tensorflow的标准化转换分布，约定其概率值的积分等于1，保证其概率的变化守恒；∫P(X)dx＝1＝∫P(Y)dy则其概率密度函数为：P(x)＝P(y)·|detJ(f‑1(y))|；|detJ(f‑1(y))|为局部线性变换对应的体积变化，J(f‑1(y))代表雅各比矩阵的逆，是d(x)/d(y)的高维变种；假设有多个变换f，对应不同的网络层映射变换，此处引入雅各比矩阵的逆对数行列式，评估转换后分布的对数密度；logP(X)＝logP(Y)+log|detJ(f‑1(y))|通过优化这一系列分布，实现将简单的高斯分布转换为复杂的真实后验分布；步骤4，使用最大似然法则，寻找一个值使这个采样的“可能性”最大化，最接近原始数据分布，最大化样本的对数概率期望来训练样本，而这些样本均是从步骤3中真实数据的分布采样出来；假设在k个变换f中，通过对变换后的概率密度评估计算其最大似然数据集合为θ＝{0.2，0.3，0.8，0.6，0.9，......，K}，将其作为训练参数带入到步骤5；步骤5，搭建标准化流模型，采用步骤1至步骤4来建模可逆神经网络可逆变换f，利用最大似然法则作为目标函数来训练可逆神经网络的参数。2.如权利要求1所述的一种web攻击溯源方法，其特征在于，所述步骤1中，攻击样本包括攻击手段，攻击结果，网络代理。3.如权利要求1所述的一种web攻击溯源方法，其特征在于，所述步骤2中，给定样本Xi在i维空间存在一个逆变换f，对于不同的x，存在随机变量y＝f(x)；对应的随机变量f‑1(y)跟x有相同的分布；前向映射，y＝f(x)，f从Xi维实空间映射到Yi维实空间，定义神经网络的结构和前向传播的结果；对应的反向映射x＝f‑1(y)，通过分布f(x)的逆变换来生成随机样本。4.如权利要求1所述的一种web攻击溯源方法，其特征在于，所述步骤2中，给定逆变换f，设有一个二维向量那么变换f的雅可比矩阵Jf；2CN114221802A权利要求书2/2页变换f的逆变换f‑1，f‑1的雅可比矩阵‑1互为逆变换的f和f，其对应的雅可比矩阵Jf与互为逆矩阵，由此建立双射函数的前向映射及反射映射。3CN114221802A说明书1/5页一种web攻击溯源方法技术领域[0001]本发明涉及网络安全技术领域，尤其涉及一种web攻击溯源方法。背景技术[0002]针对网站的Web攻击是互联网安全面临的主要威胁，为隐藏身份、逃避追踪，在对目标网站发起攻击时，黑客往往会采用多种手段隐藏自己的身份，如：使用(动态)代理、虚拟专用网络等。攻击者的这些手段很