核心问题:传统Web防火墙(如ModSecurity)依赖规则库维护,对新型攻击(如混淆编码SQL注入、慢速CC攻击)检出率不足40%,且高并发场景实时性差。
立项原因:
企业级Web应用面临攻击智能化挑战,2023年全球因Web攻击导致的数据泄露损失超$4.3B
论文验证方案在混合攻击数据集上F1值达99.54%,误报率低于0.6%
甲方对接:与某云安全厂商合作,针对其CDN服务中恶意流量识别需求定制开发,解决其日均20亿请求下的实时检测瓶颈
三级检测引擎
毫秒级初筛层
轻量CNN模型(35k参数)实时过滤流量:
正常请求:直接放行(耗时2-5ms)
可疑请求:转大模型复检(如含/admin.php?id=1'等非常规参数)
特征处理:URL标准化 + 词向量嵌入(16维)
语义级复检层
DeepSeek-R1-Qwen-1.5B微调模型:
LoRA技术更新0.1%参数(rank=8, alpha=16)
识别复杂攻击逻辑(如伪装为Base64)
混合精度推理:GPU用FP16(600ms/请求),CPU回退FP32
人工验证层
双模型冲突样本自动推送前端(如CNN判异常但大模型置信度<85%)
安全专家通过交互界面审核(带攻击特征高亮提示)
可视化系统
实时监控看板:
deepseek_mermaid_20250709_4410a7.png
三维特征空间:PCA降维展示攻击聚类(如SQL注入聚集在Z轴高危区)
批量处理:支持万级URL文件上传,平均4.5分钟完成100条分析
开发周期:5个月(2025.2-2025.5) | 角色分工:单人全栈开发(论文作者)
技术架构亮点:
流式处理优化
多线程池并行:100请求响应时间从500s → 100s
故障回退链:本地模型 → 云端API → 正则规则(保障99.99%可用性)
LoRA微调策略
使用LLaMA Factory框架微调
效果:检测准确率从57.9%→96.75%(SQL/XSS数据集)
主动学习标注
基于不确定采样(uncertainty sampling)减少70%标注量
K-means聚类选择代表性样本
核心难点突破:
大模型部署:3.4GB GPU内存压缩(BF16混合精度 + 知识蒸馏)
实时性保障:CNN层承担85%流量,大模型仅处理高危请求