传统基于规则的web攻击检测方法需要人工设计添加规则，规则较多时消耗的计算资源会增长并降低检测效率，且无法识别未知攻击；近年基于深度学习的web攻击检测相关研究大多仅对http请求的url及参数部分进行检测，会遗漏部分存在于http请求其余字段的恶意攻击。针对上述问题，该文基于BERT提出了两种对http请求进行全量检测的web攻击检测方法，对BERT提出改进，基于其表征输出分别在网络后增加LSTM和Transformer,用于融合特征使BERT支持长文本的输入。两种检测模型均使用服务网站真实数据集作为训练集，使用网站真实数据集的测试集部分验证其检测效果，使用CSIC2010公开数据集作为测试集验证模型的泛化能力。实验结果表明两种模型均可在保证检测效率的前提下有效识别网站真实数据集中的正常流量及异常流量，且使用Transformer的检测模型在两种测试集上表现更好。

• 单位
  中国铁道科学研究院; 中国铁道科学研究院集团有限公司