(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111434757.8 (22)申请日 2021.11.29 (71)申请人 深圳市中科明望通信软件 有限公司 地址 518000 广东省深圳市前海深港合作 区南山街道桂湾四路55号前海华润金 融中心T2号写字楼1701 (72)发明人 聂超　 (74)专利代理 机构 深圳中一联合知识产权代理 有限公司 4 4414 代理人 姚泽鑫 (51)Int.Cl. G06F 16/35(2019.01) G06F 16/33(2019.01) G06F 40/284(2020.01) G06F 40/126(2020.01)G06N 3/08(2006.01) G06N 3/04(2006.01) H04L 9/40(2022.01) (54)发明名称 网络攻击检测方法、 装置、 终端设备、 芯片及 存储介质 (57)摘要 本申请适用于互联网技术领域， 提供了一种 网络攻击检测方法、 装置、 终端设备、 芯片及存储 介质。 所述网络攻击检测方法包括： 获取待检测 文本中所有字符的Embedding向量； 按照所述待 检测文本中所有字符在所述待检测文本中的顺 序， 对所述待检测文本中所有字符的Embedding 向量进行拼接， 得到第一特征图； 将所述第一特 征图输入 载荷定位网络， 在所述待检测文本中存 在攻击载荷的情况下， 得到所述攻击载荷在所述 待检测文本中的位置。 通过本申请可实现对待检 测文本的网络攻击 检测。 权利要求书3页 说明书14页 附图6页 CN 114064905 A 2022.02.18 CN 114064905 A 1.一种网络攻击检测方法， 其特 征在于， 包括： 获取待检测文本中所有字符的Embed ding向量； 按照所述待检测文本中所有字符在所述待检测文本 中的顺序， 对所述待检测文本 中所 有字符的Embed ding向量进行拼接， 得到第一特 征图； 将所述第一特征图输入载荷定位网络， 在所述待检测文本中存在攻击载荷的情况下， 得到所述 攻击载荷 在所述待检测文本中的位置 。 2.根据权利要求1所述的网络攻击检测方法， 其特征在于， 所述载荷定位网络包括特征 抽取器、 特征金字塔网络和第一检测头； 所述将所述第一特征图输入载荷定位网络， 在所述 待检测文本中存在攻击载荷的情况下， 得到所述攻击载荷在所述待检测文本中的位置， 包 括： 将所述第 一特征图输入所述特征抽取器， 以对所述第 一特征图进行特征抽取， 得到N层 第二特征图， N为大于2的整数， 所述 N层第二特 征图的尺寸 不同； 将所述N层第二特征图作为候选特征图， 或者从所述N层第二特征图中选取L层候选特 征图， 且所述L层候选特征图的尺寸小于剩余特征图的尺寸， 所述剩余特征图是指所述N层 第二特征图中除所述 L层候选特 征图之外的特 征图， L为大于1且小于N的整数； 将所有候选特征图输入所述特征金字塔网络， 以对所述所有候选特征图进行特征融 合， 得到所述所有候选特征图各自对应的第三特征图， 所述第三特征图的尺寸与对应的候 选特征图的尺寸相同； 将所有第三特征图输入所述第 一检测头， 以对所述所有第 三特征图进行所述攻击载荷 的位置回归， 在所述待检测文本中存在所述攻击载荷的情况下， 得到所述攻击载荷在对应 的第三特 征图中的位置； 基于所述攻击载荷在对应的第 三特征图中的位置， 确定所述攻击载荷在所述待检测文 本中的位置 。 3.根据权利要求2所述的网络攻击检测方法， 其特征在于， 在得到所述攻击载荷在对应 的第三特 征图中的位置之后， 还 包括： 将目标特征图输入第二检测头， 以对所述攻击载荷进行攻击分类， 得到所述攻击载荷 对应的攻击类型， 所述目标特征图是指所述攻击载荷在 对应的第三特征图中的位置处的特 征图。 4.根据权利要求1至3任一项所述的网络攻击检测方法， 其特征在于， 在获取待检测文 本中所有字符的Embed ding向量之前， 还 包括： 获取第一字符向量字典， 所述第 一字符向量字典至少包括所述待检测文本 中所有字符 的Embedding向量； 所述获取待检测文本中所有字符的Embed ding向量， 包括： 从所述第一字符向量字典中查找所述待检测文本中所有字符的Embed ding向量。 5.根据权利要求4所述的网络攻击检测方法， 其特征在于， 所述获取第一字符向量字 典， 包括： 获取样本文本； 对所述样本文本进行分字， 得到所述样本文本中所有字符， 所述样本文本中所有字符 至少包括所述待检测文本中所有字符；权　利　要　求　书 1/3 页 2 CN 114064905 A 2针对所述样本文本中所有字符， 构建第二字符向量字典， 所述第二字符向量字典包括 所述样本文本中所有字符的Embed ding向量； 基于所述样本文本， 通过更新所述第 二字符向量字典和字符级语言模型的模型参数训 练所述字符级语言模型； 确定所述字符级语言模型训练完成后对应的所述第二字符向量字典为所述第一字符 向量字典。 6.根据权利要求5所述的网络攻击检测方法， 其特征在于， 所述基于所述样本文本， 通 过更新所述第二字符向量字典和字符级语言模型的模型参数训练所述字符级语言模型， 包 括： 对所述样本文本进行分词， 得到所述样本文本中所有词； 从所述第二字符向量字典中查找每 个词中所有字符的Embed ding向量； 按照所述每个词中所有字符在该词中的顺序， 对该词中所有字符的Embedding向量进 行拼接， 得到该词对应的第四特 征图； 将目标词对应的第四特征图输入所述字符级语言模型， 得到当前词的预测概率； 在所 述当前词存在上文词和下文词时， 所述 目标词是指所述上文词和所述下文词； 在所述当前 词存在所述上文词且不存在所述下文词时， 所述 目标词是指所述上文词； 在所述当前词不 存在所述上文词且存在所述下文词时， 所述 目标词是指所述下文词； 所述上文词 是指所述 样本文本中位于所述当前词之前的词； 所述下文词是指所述样本文本中位于所述当前词之 后的词； 基于所述当前词的预测概率， 通过反 向传播更新所述第 二字符向量字典和所述模型参 数， 以训练所述字符级语言模型。 7.根据权利要求5所述的网络攻击检测方法， 其特征在于， 所述样本文本为正文本或者 负文本， 所述正文本是指所述攻击载荷对应的文本， 所述负文本是指不包含所述攻击载荷 的文本； 所述基于所述样本文本， 通过更新所述第二字符向量字典和字符级语言模型 的模 型参数训练所述字符级语言模型， 包括： 按照所述样本文本 中所有字符在所述样本文本 中的顺序， 对所述样本文本 中所有字符 的Embedding向量进行拼接， 得到第五特 征图； 将所述第五特征图输入所述字符级语言模型， 得到所述样本文本的预测概率， 所述样 本文本的预测 概率包括所述样本文本为所述正文本的概率和所述样本文本为所述负文本 的概率； 基于所述样本文本的预测概率， 通过反 向传播更新所述第 二字符向量字典和所述模型 参数， 以训练所述字符级语言模型。 8.一种网络攻击检测装置， 其特 征在于， 包括： 向量获取模块， 用于获取待检测文本中所有字符的Embed ding向量； 向量拼接模块， 用于按照所述待检测文本中所有字符在所述待检测文本中的顺序， 对 所述待检测文本中所有字符的Embed ding向量进行拼接， 得到第一特 征图； 攻击定位模块， 用于将所述第一特征图输入载荷定位网络， 在所述待检测文本中存在 攻击载荷的情况 下， 得到所述 攻击载荷 在所述待检测文本中的位置 。 9.一种终端设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器上权　利　要　求　书 2/3 页 3 CN 114064905 A 3