(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113987496A(43)申请公布日2022.01.28(21)申请号202111300573.2G06N3/04(2006.01)(22)申请日2021.11.04(71)申请人北京天融信网络安全技术有限公司地址100000北京市海淀区上地东路1号院3号楼四层申请人北京天融信科技有限公司北京天融信软件有限公司(72)发明人吕晋(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人李飞(51)Int.Cl.G06F21/56(2013.01)G06F16/903(2019.01)G06F16/901(2019.01)权利要求书4页说明书17页附图3页(54)发明名称恶意攻击检测的方法、装置、电子设备及可读存储介质(57)摘要本申请属于网络安全技术领域，公开了恶意攻击检测的方法、装置、电子设备及可读存储介质，该方法包括，对待检测的目标脚本文件进行字符串提取，获得至少一个目标字符串；基于至少一个目标字符串，以及预先训练好的恶意攻击检测模型，获得目标脚本文件的恶意攻击检测结果，其中，恶意攻击检测模型是基于卷积神经网络以及门控循环单元构建的，用于检测目标脚本文件是否为恶意脚本文件。这样，降低了恶意攻击检测耗费的时间成本和人力成本，提高了恶意攻击检测的准确度。CN113987496ACN113987496A权利要求书1/4页1.一种恶意攻击检测的方法，其特征在于，包括：对待检测的目标脚本文件进行字符串提取，获得至少一个目标字符串；基于所述至少一个目标字符串，以及预先训练好的恶意攻击检测模型，获得所述目标脚本文件的恶意攻击检测结果，其中，所述恶意攻击检测模型是基于卷积神经网络以及门控循环单元构建的，用于检测所述目标脚本文件是否为恶意脚本文件。2.如权利要求1所述的方法，其特征在于，所述对待检测的目标脚本文件进行字符串提取，获得至少一个目标字符串，包括：对所述目标脚本文件进行字符串提取，获得至少一个字符串；获取样本字符串集合，其中，所述样本字符串集合是基于非恶意样本以及恶意样本中的样本字符串生成的；从所述至少一个字符串中，筛选出被所述样本字符串集合包含的字符串；将筛选出的字符串，确定为所述目标字符串。3.如权利要求2所述的方法，其特征在于，所述对所述目标脚本文件进行字符串提取，获得至少一个字符串，包括：获取所述目标脚本文件的脚本语言类型；判断所述脚本语言类型是否为非指定类型，若是，则采用正则表达式，提取所述目标脚本文件中的所述至少一个字符串；否则，将所述目标脚本文件进行解析，获得所述目标脚本文件对应的字节码文件，并采用所述正则表达式，对所述字节码文件中进行字符串提取，获得所述至少一个字符串。4.如权利要求2或3所述的方法，其特征在于，所述恶意攻击检测模型中包含词向量嵌入模块、卷积神经网络模型、门控循环单元模型以及全连接层，所述基于所述至少一个目标字符串，以及预先训练好的恶意攻击检测模型，获得恶意攻击检测结果，包括：基于预设的样本字符串以及索引之间的第一对应关系，获得所述至少一个目标字符串对应的索引；通过所述词向量嵌入模块，基于索引与词向量之间的第二对应关系，以及所述至少一个目标字符串对应的索引，获得所述至少一个目标字符串对应的词向量；基于所述至少一个目标字符串对应的索引和词向量，以及所述卷积神经网络模型，获得所述卷积神经网络模型输出的第一特征；基于所述至少一个目标字符串对应的索引和词向量，以及所述门控循环单元模型，获得所述所述门控循环单元模型输出的第二特征；将所述第一特征和所述第二特征进行拼接，获得第三特征；将所述第三特征输入至所述全连接层，获得所述全连接层输出的所述恶意攻击检测结果。5.如权利要求4所述的方法，其特征在于，在所述基于预设的样本字符串以及索引之间的第一对应关系，获得所述至少一个目标字符串对应的索引之前，还包括：分别针对所述样本字符串集合中的每一样本字符串，生成相应的索引；根据各样本字符串对应的索引，建立所述第一对应关系；分别将所述样本字符串集合中的每一样本字符串输入预先训练好的词向量模型，获得相应的词向量；2CN113987496A权利要求书2/4页根据各样本字符串对应的词向量，以及所述第一对应关系，建立所述第二对应关系。6.如权利要求2或3所述的方法，其特征在于，在所述对待检测的目标脚本文件进行字符串提取，获得至少一个目标字符串之前，还包括：采用正则表达式，分别对样本集合中的每一样本进行字符串提取，获得每一样本对应的样本字符串；采用第一筛选方式、第二筛选方式以及第三筛选方式中的至少一种，对各样本对应的样本字符串进行筛选，获得所述样本字符串集合；其中，所述第一筛选方式是根据样本的恶意攻击类别筛选字符串，所述第二筛选方式是根