智能Web异常流量多级检测系统

核心问题：传统Web防火墙（如ModSecurity）依赖规则库维护，对新型攻击（如混淆编码SQL注入、慢速CC攻击）检出率不足40%，且高并发场景实时性差。
立项原因：

企业级Web应用面临攻击智能化挑战，2023年全球因Web攻击导致的数据泄露损失超$4.3B

论文验证方案在混合攻击数据集上F1值达99.54%，误报率低于0.6%
甲方对接：与某云安全厂商合作，针对其CDN服务中恶意流量识别需求定制开发，解决其日均20亿请求下的实时检测瓶颈

三级检测引擎
毫秒级初筛层

轻量CNN模型（35k参数）实时过滤流量：

正常请求：直接放行（耗时2-5ms）

可疑请求：转大模型复检（如含/admin.php?id=1'等非常规参数）

特征处理：URL标准化 + 词向量嵌入（16维）

语义级复检层

DeepSeek-R1-Qwen-1.5B微调模型：

LoRA技术更新0.1%参数（rank=8, alpha=16）

识别复杂攻击逻辑（如伪装为Base64）

混合精度推理：GPU用FP16（600ms/请求），CPU回退FP32

人工验证层

双模型冲突样本自动推送前端（如CNN判异常但大模型置信度<85%）

安全专家通过交互界面审核（带攻击特征高亮提示）

可视化系统
实时监控看板：
deepseek_mermaid_20250709_4410a7.png
三维特征空间：PCA降维展示攻击聚类（如SQL注入聚集在Z轴高危区）

批量处理：支持万级URL文件上传，平均4.5分钟完成100条分析

开发周期：5个月（2025.2-2025.5） | 角色分工：单人全栈开发（论文作者）
技术架构亮点：

流式处理优化

多线程池并行：100请求响应时间从500s → 100s

故障回退链：本地模型 → 云端API → 正则规则（保障99.99%可用性）

LoRA微调策略

使用LLaMA Factory框架微调

效果：检测准确率从57.9%→96.75%（SQL/XSS数据集）

主动学习标注

基于不确定采样（uncertainty sampling）减少70%标注量

K-means聚类选择代表性样本

核心难点突破：

大模型部署：3.4GB GPU内存压缩（BF16混合精度 + 知识蒸馏）

实时性保障：CNN层承担85%流量，大模型仅处理高危请求