(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111661242.1 (22)申请日 2021.12.3 0 (71)申请人 广东工业大 学 地址 510090 广东省广州市越秀区东 风东 路729号 申请人 中通服建设有限公司 (72)发明人 凌捷　林茂源　罗玉　区旸　 刘艺彬　 (74)专利代理 机构 广州粤高专利商标代理有限 公司 44102 代理人 禹小明 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于注意力机制的恶意流量检测方法 和系统 (57)摘要 本发明提供了一种基于注意力机制的恶意 流量检测方法和系统， 涉及通信网络安全技术领 域。 所述方法包括步骤： S1、 对待检测的流量数据 集进行特征选择， 得到精简特征集； S2、 进行预处 理得到预处理数据集； S3、 输入到基于注意力机 制的深度残差收缩网络， 获得恶意流量检测结 果； 本发明采用的网络模型包括了含有注意力机 制的深度残差收缩网络结构， 在分类准确率和误 报率上有较好的表现， 能提取关键数据信息， 有 效地降低了模 型的训练和测试的时间。 又由于流 量数据具有时序性和特征冗余性， 因此本技术方 案也结合使用了长短期记忆网络， 既减少或者降 低了检测数据中冗余信息的影 响， 也延续了数据 信息的上下文联系， 增强了恶意流量检测的准确 率。 权利要求书2页 说明书8页 附图2页 CN 114338199 A 2022.04.12 CN 114338199 A 1.一种基于注意力机制的恶意 流量检测方法， 其特 征在于， 包括 步骤： S1、 获取待检测的流 量数据集， 对所述 流量数据集进行 特征选择， 得到精简特 征集； S2、 对所述精简特 征集进行 预处理得到预处 理数据集； S3、 将预处理数据集输入到预先训练好的基于注意力机制的深度残差收缩网络， 通过 所述基于注意力机制的深度残差收缩网络对预 处理数据集进 行分类， 获得待检测的流量数 据集的恶意 流量检测结果； 步骤S3所述基于注意力机制的深度残差收缩网络通过结合深度残差收缩网络和长短 期记忆网络进行构建得到 。 2.根据权利要求1所述的一种基于注意力 机制的恶意流量检测方法， 其特征在于， 步骤 S1所述特 征选择是基于XGBo ost算法实现的。 3.根据权利要求2所述的一种基于注意力 机制的恶意流量检测方法， 其特征在于， 所述 XGBoost算法进行 特征选择的步骤 包括： S11、 将所述流量数据 集中的原始特征组合在一起构成原始特征集f， 利用xgboost特征 重要性算法计算原始特征集f中每个特征 的分类重要程度得分， 并依据分类重要程度得分 从高到低排序； S12、 根据特征分类重要程度得分的高低， 把重要性排序最后的特征作为待删除特征， 表示为t， 并将原始特征集f中的其余特征按照类型分类， 选出所有连续型特征组成连续特 征子集f1， 所有文本型特征组成文本特 征子集f2； S13、 判断待删除特征t的类型， 若该特征为连续型特征变量则计算t与连续特征子集f1 中其他所有 特征的皮尔逊相关系数并执行步骤S14； 若 该特征为文本型特征则计算t与文本 特征子集f2中其他所有特 征的mm值并执行步骤S15； S14、 将所有相关系数的绝对值的均值作为阈值i， 对于绝对值大于阈值且在该轮重要 性排序中位于后5 0％的特征， 在连续特 征子集f1中删除； S15、 计算特征的相关性得分值， 将所有得分值的均值作为阈值i， 并将文本特征子集f2 中得分值大于阈值且在该轮重要性 排序中位于后5 0％的特征删除； S16、 将连续特征子集f1与文本特征子集f2合并， 获得特征集f， 对特征集f中的每个特征 都执行步骤S1 1至步骤S15， 即可获得最优的精简特 征集s。 4.根据权利要求3所述的一种基于注意力 机制的恶意流量检测方法， 其特征在于， 步骤 S15计算特 征的相关性得分值的公式为： 其中， Xt表示所有得分值， median 为平均中位数算法。 5.根据权利要求1所述的一种基于注意力 机制的恶意流量检测方法， 其特征在于， 步骤 S2所述预 处理的方法为： 使用L2范数对精简特征集进 行归一化； 然后， 对精简特征集中的标 签进行量 化， 再对标签进行独热编码得到预处 理数据集。 6.根据权利要求1所述的一种基于注意力 机制的恶意流量检测方法， 其特征在于， 步骤 S3所述基于注意力机制的深度 残差收缩网络包括： 深度 残差收缩网络、 长 短期记忆网络、 多 层感知器、 激活函数； 基于注意力 机制的深度残差收缩 网络的输入数据分别经过深度残差收缩 网络、 长短期权　利　要　求　书 1/2 页 2 CN 114338199 A 2记忆网络得到各自的处理结果， 然后对深度 残差收缩网络的处理结果和长 短期记忆网络的 处理结果进行连接操作， 对连接操作结果依 次输入多层感知器和激活函数， 得到是否为恶 意流量的分类结果。 7.根据权利要求6所述的一种基于注意力 机制的恶意流量检测方法， 其特征在于， 训练 步骤S3所述基于注意力机制的深度残差收缩网络的方法为， 首先使用k折交叉验证法将用 于训练的流 量数据集分为训练数据集、 验证数据集和 测试数据集； 然后使用训练集对基于注意力机制的深度残差收缩网络ARSL进行预训练来调整ARSL 网络的超参数； 将所述超参数代入ARSL网络得到经过预训练的ARSL网络； 将训练集输入经 过预训练的ARSL网络， ARSL网络对输入数据处理后得到输出数据， 通过误差函数对输入数 据和输出数据之间的误差进行评估得到误差评估结果， 利用误差反向传播方法根据误差评 估结果对ARSL网络进行微调， 以获得ARSL网络最优的连接权值和偏置值， 直到ARSL网络的 二分类准确度、 精确度、 召回率和F1分数达 到预期要求 为止， 保存训练完成的ARSL网络 。 8.一种基于注意力机制的恶意流量检测系统， 用于执行权利要求1 ‑7任一项所述的一 种基于注 意力机制的恶意流量检测方法， 其特征在于， 包括： 数据获取模块、 特征选择模块、 预处理模块、 网络执 行模块； 数据获取模块获取待检测的流量数据集， 特征选择模块对所述流量数据集进行特征选 择， 得到精简特征集； 预 处理模块对所述精简特征集进 行预处理得到预处理数据集； 网络执 行模块获取预处理数据集， 并输入到预先训练好的基于注意力机制的深度残差 收缩网络， 通过所述基于注意力机制的深度 残差收缩网络对预 处理数据集进 行分类， 获得待检测的流 量数据集的恶意 流量检测结果。 9.根据权利要求8所述的一种基于注意力 机制的恶意流量检测系统， 其特征在于， 所述 特征选择模块 通过XGBoost算法实现特 征选择。 10.根据权利要求9所述的一种基于注意力机制的恶意流量检测系统， 其特征在于， 所 述预处理模块进 行预处理的方法为： 使用L2范数对精简特征集进 行归一化； 然后， 对精简特 征集中的标签进行量 化， 再对标签进行独热编码得到预处 理数据集。权　利　要　求　书 2/2 页 3 CN 114338199 A 3