(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211117994.6 (22)申请日 2022.09.14 (71)申请人 中国电子科技 集团公司第十五研究 所 地址 100083 北京市海淀区北四环中路21 1 号 申请人 北京邮电大 学 (72)发明人 任传伦　俞赛赛　何明枢　刘晓影　 张先国　贾佳　乌吉斯古愣 　程洋　 谭震　刘文瀚　孟祥頔　 (74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 专利代理师 李奉瑾 (51)Int.Cl. G06F 21/55(2013.01)G06V 10/764(2022.01) G06V 10/82(2022.01) G06N 3/08(2006.01) G06N 3/04(2006.01) H04L 9/40(2022.01) (54)发明名称 一种网络空间推演与安全评估方法及装置 (57)摘要 本发明公开了一种网络空间推演与安全评 估方法及装置， 该方法通过将网络流处理为网络 流图像， 把传统网络流分类重新表述为图像分 类； 通过将具有注意力机制的卷积神经网络应用 于此图像分类， 增强了模型决策的视觉解释性； 通过采用多任务分支网络模型同时预测网络流 的二分类输出和多分类输出， 利用学习到的特 征， 二分类可检测良性流或攻击流， 多分类可预 测具体的网络流入侵类别， 提高了多分类任务的 性能， 解决分类不平衡、 准确性较差问题。 可见， 通过结合注 意力机制和多任务学习策略， 在提升 网络入侵检测性能的同时， 实现了神经网络分类 的透明性和解释性。 权利要求书2页 说明书15页 附图3页 CN 115455408 A 2022.12.09 CN 115455408 A 1.一种网络空间推演与安全评估方法， 其特 征在于， 包括： 对预设的网络流进行处 理， 得到网络流图像； 所述预设的网络流包括 正常流和攻击流； 按照预设的比例， 将所述网络流图像划分为训练集和 测试集； 利用所述训练集， 对预设的多任务分支网络模型进行训练， 得到最优多任务分支网络 模型； 利用所述 最优多任务分支网络模型， 对所述网络流图像进行处 理， 得到视觉解释图； 对所述视 觉解释图包 含的信息进行处 理， 得到网络流 安全评估结果。 2.根据权利要求1所述的网络空间推演与安全评估方法， 其特征在于， 所述对预设的网 络流进行处 理， 得到网络流图像， 包括： 对预设的网络流进行 预处理， 得到一维特 征向量； 将所述一维特征向量映射到在笛卡尔平面占据的空间位置， 得到空间位置信息； 对所述空间位置信 息进行分配处理， 将所述一维特征向量的每个特征分配到m ×m的二 维网格中相应的像素帧上， 得到网络流图像； 所述m取值范围满足m ×m不小于所述 一维特征向量特 征数。 3.根据权利要求1所述的网络空间推演与安全评估方法， 其特征在于， 所述预设的多任 务分支网络模型基于一维卷积搭建， 包括： 一维卷积层， 用于提取输入图像的有效特 征； dropout层， 用于防止过拟合； 二分类分支用于检测良性 流或攻击流， 包括Flat ten层、 全连接层； 多分类分支用于识别具体类别的网络流， 包括像素注意层、 平均层、 Fl atten层、 全连接 层； 所述像素注意层包括1 ×1卷积层和sigmo id激活层。 4.根据权利要求3所述的网络空间推演与安全评估方法， 其特征在于， 所述利用训练 集， 对预设的多任务分支网络模型进行训练， 得到最优多任务分支网络模型， 包括： 利用所述训练集， 对所述预设的多任务分支网络模型超参数进行优化训练， 得到第二 多任务分支网络模型； 从所述训练集中， 按预设的抽样比例随机选取样本作为验证集； 所述预设的抽样比例 不小于20％； 利用所述验证集， 采用反向传播来训练所述第二多任务分支网络模型， 并使用Adam更 新规则执行基于梯度的优化， 最大迭代数设置为 150， 并在所述验证网络流图像上达到预设 损失阈值时提前停止， 保留最佳分类模型， 得到最优多任务分支网络模型。 5.根据权利要求1所述的网络空间推演与安全评估方法， 其特征在于， 执行利用所述训 练集， 对预设的多任务分支网络模型进 行训练， 得到最优多任务分支网络模型后， 所述方法 还包括： 将测试集输入所述 最优多任务分支网络模型进行测试， 得到入侵类别测试信息； 将所述入侵类别测试信 息与网络流实际类别信 息进行对比统计， 得到模型分类性能结 果。 6.根据权利要求3所述的网络空间推演与安全评估方法， 其特征在于， 所述利用所述最 优多任务分支网络模型， 对所述网络流图像进行处 理， 得到视觉解释图， 包括： 将网络流图像输入一维卷积层， 进行 卷积处理， 得到图像有效特 征信息；权　利　要　求　书 1/2 页 2 CN 115455408 A 2所述图像有效特 征信息经 过dropout层处 理， 得到多通道特 征图； 将所述多通道特 征图输入二分类分支的Flat ten层处理， 得到展平特 征信息； 将所述展平特征信息输入二分类分支 的全连接层处理， 得到二元分类结果； 所述二分 类分支的全连接层使用sigmoid激活函数， 神经元个数为2； 所述二元分类结果将 网络流分 为正常网络流与入侵网络流； 将所述多通道特 征图输入多分类分支的像素注意层处 理， 得到多通道 注意力图； 将所述多通道注意力图输入多分类分支的平均层进行处理， 所述多分类平均层对不同 特征图中的相应 像素进行平均并生成一个单通道 矩阵， 得到单通道 注意力信息； 将所述单通道注意力信息经多分类分支的Flatten层处理后， 输入至多分类分支的全 连接层， 得到视觉解释图； 所述多分类分支的全连接层使用softmax激活函数， 神经元个数 为网络流类别总数量； 所述视觉解释 图显示了各种网络流特征吸引神经模型注意力的程 度。 7.根据权利要求2所述的网络空间推演与安全评估方法， 其特征在于， 所述对预设的网 络流进行 预处理， 得到一维特 征向量， 包括： 采用编码技 术， 将所述预设的网络流映射 为数值特 征； 对所述数值特 征进行归一 化处理， 得到一维特 征向量。 8.根据权利要求1所述的网络空间推演与安全评估方法， 其特征在于， 所述对所述视觉 解释图包 含的信息进行处 理， 得到网络流 安全评估结果， 包括： 提取所述视觉解释图中包 含的信息， 得到入侵类别 信息和网络流特 征信息； 对所述入侵类别信 息和网络流特征信 息的相关度进行关联处理， 得到网络流安全评估 结果。 9.一种网络空间推演与安全评估 装置， 其特 征在于， 所述装置包括： 第一处理模块， 用于对预设的网络流进行处理， 得到网络流图像； 所述预设的网络流包 括正常流和攻击流； 图像划分模块， 用于将所述网络流图像划分为训练集和 测试集； 模型训练模块， 用于利用所述训练集， 对预设的多任务分支网络模型进行训练， 得到最 优多任务分支网络模型； 视觉解释图生成模块， 用于利用所述最优多任务分支网络模型， 对所述网络流图像进 行处理， 得到视觉解释图； 第二处理模块， 用于对所述视觉解释图包含的信息进行处理， 得到网络流安全评估结 果。 10.一种网络空间推演与安全评估 装置， 其特 征在于， 所述装置包括： 存储有可执行程序代码的存 储器； 与所述存 储器耦合的处 理器； 所述处理器调用所述存储器中存储的所述可执行程序代码， 执行如权利要求1 ‑8任一 项所述的网络空间推演与安全评估方法。权　利　要　求　书 2/2 页 3 CN 115455408 A 3