互联网技术的兴起使得网络环境复杂多样,Web应用遭受着各种各样的网络攻击。SQL注入和XSS攻击是入侵Web应用最常见的手段,它们适用范围广、操作容易、造成危害大。目前检测Web攻击的方法主要有两种:第一种是技术专家通过分析Web攻击的特点制定安全规则库,基于规则库的检测器对Web攻击进行检测,然而随着Web攻击的发展和变化,这种技术检测效率低而且无法检测出变形的Web攻击;第二种是将机器学习用于Web应用中,利用机器学习模型学习正常样本和攻击样本的特征,得到一种可以检测Web攻击的分类器,这种分类器对Web攻击的识别率高,而且可以检测大多数变形的SQL注入和XSS攻击。为了可以更精准地检测出SQL注入和XSS攻击,我们提出一种机器学习模型可以同时检测SQL注入和XSS攻击。虽然XSS攻击和SQL注入攻击网络原理不一样,但是它们攻击形式相同,都是通过修改URL中参数实现攻击,因此我们将两种攻击表达形式进行统一。在数据采集阶段,我们实验数据主要来源于Git Hub网站和网络安全公司的公开数据,以及通过利用工具对网站进行模拟攻击来获取数据。在获取数据后对样本数据清洗、分词和向量化。数据预处理完成后,本文选择了两种不同的机器学习模型建立分类器:一种是卷积神经网络模型;另一种是利用FP-growth算法优化SVM模型。首先利用训练样本对两种模型进行训练,让模型学习正常样本和攻击样本的特征,得到分类器;然后利用测试集验证两种模型检测效果,将实验结果与前人实验对比,我们发现利用卷积神经网络检测这两种攻击的准确率和召回率都比前人的高,利用FP-growth算法优化的SVM比最新改进的SVM检测效果更好;最后我们对比本文的两种检测方法,优化的SVM比CNN性能好。