(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211144655.7 (22)申请日 2022.09.20 (71)申请人 中国农业银行股份有限公司 地址 100005 北京市东城区建国门内大街 69号 (72)发明人 黄蕾　郑鹏飞　王晨亦　王实美　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 专利代理师 钞朝燕　黄健 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 41/16(2022.01) G06N 3/08(2006.01) (54)发明名称 恶意请求检测模 型的训练方法、 恶意请求识 别方法及设备 (57)摘要 本申请提供一种恶意请求检测模型的训练 方法、 恶意请求识别方法及设备， 在恶意请求检 测模型的训练方法中， 电子设备通过获取恶意样 本请求以及非恶意样本请求， 对恶意样本请求中 的请求路径以及请求参数进行批注， 生成批注后 的恶意样 本请求， 通过批注后的恶意样本请求和 非恶意样 本请求对神经网络模型进行训练， 得到 恶意请求检测模型。 在本技术方案中， 训练得到 恶意请求检测模 型具有分析能力和学习能力， 可 以有效识别变种攻击或新型攻击， 提高了识别的 准确率。 权利要求书2页 说明书13页 附图7页 CN 115499222 A 2022.12.20 CN 115499222 A 1.一种恶意请求检测模型的训练方法， 其特 征在于， 包括： 获取恶意样本请求以及非恶意样本请求； 对所述恶意样本请求中的请求路径以及请求参数进行批注， 生成批注后的恶意样本请 求； 通过所述批注后的恶意样本请求和所述非恶意样本请求对神经网络模型进行训练， 得 到恶意请求检测模型。 2.根据权利要求1所述的方法， 其特 征在于， 所述请求 参数包括以下至少一项子参数： 所述恶意样本请求的类型、 所述恶意样本请求的字符长度、 密文串的字符长度、 所述密 文串与所述恶意样本请求的字符长度比例、 参数值中第一预设字符的个数、 所述第一预设 字符与所述参数值中总字符的个数比例、 预设字符串的个数、 所述预设字符串与所述恶意 样本请求中总字符串的个数比例、 访问资源信息 。 3.根据权利要求1或2所述的方法， 其特征在于， 所述对所述恶意样本请求中的请求路 径以及请求 参数进行批注， 生成批注后的恶意样本请求， 包括： 将所述恶意样本请求中的请求路径进行解码， 并将解码后得到的字符串的大写字符转 换为小写， 生成第一恶意样本请求； 通过第二预设字符将所述第 一恶意样本请求中各子参数进行分割， 并将分割后的各子 参数之间通过第三字符进行 连接， 生成第二恶意样本请求； 对所述第二恶意样本请求中处理后的请求路径以及所述各子参数进行批注， 生成所述 批注后的恶意样本请求。 4.一种恶意请求识别方法， 其特 征在于， 包括： 获取待识别请求； 将所述待识别请求输入恶意请求检测模型， 获取检测结果， 所述恶意请求检测模型为 采用如权利要求1 ‑3任一项所述的方法训练得到的， 所述检测结果用于指示所述待识别请 求是否为恶意请求。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 若所述检测结果指示所述待识别请求为恶意请求， 则对所述待识别请求进行拦截， 生 成相应的错误日志， 并向发送所述待识别请求的终端设备返回错误信息， 所述错误信息用 于说明所述待识别请求未能成功发送至对应的服 务器； 若所述检测结果指示所述待识别请求为非恶意请求， 则将所述待识别请求转发至对应 的所述服务器。 6.根据权利要求5所述的方法， 其特征在于， 所述将所述待识别请求输入恶意请求检测 模型， 获取检测结果， 包括： 判断所述终端设备 是否有权限与所述 服务器进行信息交 互； 若有， 则判断所述待识别请求的类型； 若所述待识别请求的类型为获取GET请求类型， 则将所述待识别请求的请求头输入所 述恶意请求检测模型， 获取 所述检测结果； 若所述待识别请求的类型为发送POST请求类型， 则将所述待识别请求的请求头和请求 体输入所述恶意请求检测模型， 获取 所述检测结果。 7.一种恶意请求检测模型的训练装置， 其特 征在于， 包括：权　利　要　求　书 1/2 页 2 CN 115499222 A 2获取模块， 用于获取恶意样本请求以及非恶意样本请求； 处理模块， 用于对所述恶意样本请求中的请求路径以及请求参数进行批注， 生成批注 后的恶意样本请求； 训练模块， 用于通过所述批注后的恶意样本请求和所述非恶意样本请求对神经网络模 型进行训练， 得到恶意请求检测模型。 8.一种恶意请求识别装置， 其特 征在于， 包括： 获取模块， 用于获取待识别请求； 输入模块， 用于将所述待识别请求输入恶意请求检测模型， 获取检测结果， 所述恶意请 求检测模型为采用如权利要求1 ‑3任一项所述的方法训练得到的， 所述检测结果用于指示 所述待识别请求是否为恶意请求。 9.一种电子设备， 包括： 处理器、 存储器及存储在所述存储器上并可在处理器上运行的 计算机程序指令， 其特征在于， 所述处理器执行所述计算机程序指令时用于实现如权利要 求1至6任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 执行指令， 所述计算机执行指 令被处理器执行时用于实现如权利要求 1至6任一项 所述的方 法。权　利　要　求　书 2/2 页 3 CN 115499222 A 3