该论文提出了一种基于元学习的无监督零日Web攻击检测框架RETSINA，旨在解决现有方法需要大量训练数据且仅能针对特定域名训练的问题。研究背景是现有基于无监督学习的Web应用防火墙（WAF）增强系统虽然能检测零日攻击，但需要长时间收集训练数据，部署周期长。核心问题是如何在仅有少量训练数据的条件下，跨组织内多个不同域名实现高效的零日攻击检测。方法上，RETSINA利用元学习在异构域名之间共享知识，包括HTTP请求之间的关联关系，从而快速训练检测模型。具体设计了自适应预处理模块，支持跨域Web请求的语义分析；并提出多域表示方法，捕获不同域名之间的语义相关性以进行跨域模型训练。实验使用四个真实世界数据集（共2.93亿条Web请求），结果表明RETSINA仅需5分钟的训练数据即可达到现有方法使用1天训练数据分别训练各域模型的检测性能。此外，在互联网公司实际部署一个月，RETSINA在两个域名中分别日均捕获126和218个零日攻击请求。该工作对安全社区的主要贡献是显著降低了零日Web攻击检测的部署门槛，使得在数据稀缺的新域名上快速启用自适应检测成为可能。适合关注Web安全、异常检测、元学习应用的研究人员和工程师阅读。