(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211180250.9 (22)申请日 2022.09.27 (65)同一申请的已公布的文献号 申请公布号 CN 115277258 A (43)申请公布日 2022.11.01 (73)专利权人 广东财经 大学 地址 510000 广东省广州市海珠区赤沙路 21号 专利权人 绿盟科技 集团股份有限公司 (72)发明人 郑伟发　肖岩军　尤扬　程培宇　 蔡梓涛　谢少群　 (74)专利代理 机构 广州润禾知识产权代理事务 所(普通合伙) 44446 专利代理师 林伟斌(51)Int.Cl. H04L 9/40(2022.01) H04L 41/16(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) (56)对比文件 CN 115086029 A,2022.09.20 CN 112839034 A,2021.0 5.25 CN 112839034 A,2021.0 5.25 CN 114760098 A,202 2.07.15 CN 114944939 A,202 2.08.26 苏永才.基于时空图神经网络的网络异常检 测与流量分类. 《中国优秀硕士学位 论文全文数 据库信息科技 辑I139-49》 .202 2, 审查员 于兰 (54)发明名称 一种基于时空特征融合的网络攻击检测方 法和系统 (57)摘要 本发明涉及一种基于时空特征融合的网络 攻击检测方法和系统， 所述方法包括： 将待检测 的网络流量数据进行预处理， 作为训练后的GCN ‑ BiGRU神经网络模型的输入， 通过GCN神经网络模 块提取网络流量数据的空间特征， 通过BiGRU神 经网络模块提取网络流量数据的时间特征， 在特 征融合模块中对时间特征和空间特征进行特征 融合， 得到待检测的网络流量数据的分类标签。 所述系统包括： 采集模块、 预处理模块以及分析 模块。 本发 明通过提取网络流量数据的空间特征 和时间特征并进行特征融合， 将时空特征相结合 进行网络攻击 检测， 有效提高了算法的可靠性。 权利要求书5页 说明书12页 附图3页 CN 115277258 B 2022.12.20 CN 115277258 B 1.一种基于时空特 征融合的网络攻击检测方法， 其特 征在于， 包括： 获取网络流 量数据作为样本集， 并对其进行 预处理， 得到预处 理后的样本集； 预设分类标签， 所述分类标签包括 正常流量标签、 受害流 量标签和攻击流 量标签； 根据预设的分类标签对预处 理后的样本集进行 标注得到对应的分类标签集； 构建GCN‑BiGRU神经网络模型， 所述GCN ‑BiGRU神经网络模型包括GCN神经网络模块、 BiGRU神经网络模块以及 对GCN神经网络模块和BiGRU神经网络模块的输出进行特征融合的 特征融合模块； 利用预处理后的样本集和对应的分类标签集对GCN ‑BiGRU神经网络模型进行训练和测 试得到最终的GCN ‑BiGRU神经网络模型； 将待检测的网络流量数据进行预处理， 作为最终的GCN ‑BiGRU神经网络模型的输入， 通 过GCN神经网络模块提取所述待检测的网络流量数据的空间特征， 通过BiGRU神经网络模块 提取所述待检测的网络流量数据的时间特征， 在特征融合模块中对时间特征和空间特征进 行特征融合， 得到待检测的网络流 量数据的分类标签； 获取网络流量数据作为样本集， 并对其进行预处理， 得到预处理后的样本集， 具体包 括： 获取网络流 量数据作为样本集， 对样本集进行初始化， 形成初始化数据集； 根据初始化数据集获取节点数据集和边数据集； 根据初始化数据集进行归一化处理和编码处理， 根据节点数据集、 边数据集以及归一 化和编码后的数据， 构建边特 征数据集； 和/或， 将待检测的网络流 量数据进行 预处理， 具体包括： 将待检测的网络流 量数据进行初始化， 形成对应的待检测数据集； 根据对应的待检测数据集获取对应的节点数据集和边数据集； 根据对应的待检测数据集进行归一化处理和编码处理， 根据待检测数据集对应的节点 数据集、 边数据集以及归一 化和编码后的数据， 构建待检测数据集对应的边特 征数据集； 所述对样本集进行初始化， 形成初始化数据集， 以及， 所述将待检测的网络流量数据进 行初始化， 形成对应的待检测数据集， 均采用如下步骤实现： 对网络流量数据进行初始化， 形成初始化数据集RawDataSet， 所述初始化数据集 RawDataSet包括： 连接第 一次出现的时间Date  first seen、 持续 时间Duration、 使用协议 类型Proto、 源节点地址Src  IP Addr、 目的节点地址Dst  IP Addr、 源节点端口Src  Pt、 目的 节点端口Dst  Pt、 包的数量Packets、 字节数Bytes、 数据流Flows、 标识符Flags、 服务类型 Tos； 根据初始化数据集或待检测数据集获取节点数据集和边数据集， 具体包括： 遍历初始化数据集RawDataS et， 提取每条记录的源节点地址Src  IP Addr、 源节点端口 Src Pt， 根据“Src=Src IP Addr+ Src Pt”的原则， 生成源网络节点字典SrcDict， 所述源网 络节点字典SrcDict包括SrcID和Src 两个字段； 遍历初始化数据集RawDataS et， 提取每条记录的目的节点地址Dst  IP Addr、 目的节点 端口Dst Pt， 根据“Dst=Dst IP Addr+ Dst Pt”的原则， 生成目的网络节点字典DstDict， 所 述目的网络节点字典DstDict包括DstID和Dst两个字段；权　利　要　求　书 1/5 页 2 CN 115277258 B 2新建节点数据集 NodeSet和边数据集EdgeSet； 遍历初始化数据集RawDataSet， 查阅源网络节点字典SrcDict和目的网络节点字典 DstDict， 将初始化数据集RawDataSet中的 “Src IP Addr+ Src Pt”在源网络节点字典 SrcDict对应的SrcID和Src插入节点数据集NodeSet， 将初始化数据集RawDataSet中的 “Dst  IP Addr+ Dst Pt”在目的网络节点字典DstDict对应的DstID和Dst插入节点数据集 NodeSet； 将源网络节点字典SrcDict对应的SrcID和目的网络节点字典DstDict对应的DstID分 别作为边的起点和终点插 入边数据集EdgeSet； 通过GCN神经网络模块 提取所述待检测的网络流 量数据的空间特 征， 具体包括： 根据待检测网络流量数据对应的节点数据集获取构建网络节点图的网络节点， 根据待 检测网络流量数据对应的边数据集获取构建 网络节点图的边， 根据获取的网络节点和边构 建网络节点图； 根据网络节点图获取网络节点的邻居节点， 根据邻居节点计算出网络节点图的邻 接矩 阵； 根据网络节点图获取网络节点相关联的边的数量， 定义 为网络节点的度； 根据网络节点的度计算出网络节点图的度矩阵； 根据网络节点图的邻 接矩阵和度矩阵得到网络节点图的特征矩阵， 作为待检测的网络 流量数据的空间特 征。 2.根据权利要求1所述的一种基于时空特征融合的网络攻击检测方法， 其特征在于， 样 本集和/或待检测数据集对应的所述 边特征数据集的构建方法包括： 对初始化数据集RawDataS et中的持续时间Duration、 包的数量Packets、 字节数Bytes、 数据流Fl ows进行归一 化处理； 对初始化数据集RawDataSet中 的使用协议类型Proto、 标识 符Flags、 服务类型Tos进行 编码； 遍历初始化数据集RawDataSet， 将所述 “Src IP Addr+ Src Pt”在SrcDict中对应的 SrcID作为边的起点， 所述 “Dst IP Addr+ Dst Pt”在DstDict中对应的DstID作为边的终 点， 结合所述归一化后和所述编码后的数据作为边的特征数据， 形成边特征数据集 EdftSet。 3.根据权利要求2所述的一种基于时空特征融合的网络攻击检测方法， 其特征在于， 根 据预设的分类标签对预处 理后的样本集进行 标注得到对应的分类标签集， 具体包括： 根据预设的分类标签对样本集进行 标注得到标签标注信息； 将样本集对应的标签标注信息进行 数值编码； 遍历初始化数据集RawDataSet， 将所述 “Src IP Addr+ Src Pt”在SrcDict中对应的 SrcID作为起点， 将所述 “Dst IP Addr+ Dst Pt”在DstDict中对应的DstID作为终点， 结合 样本集对应的标签标注信息对应的数值编码信息作为边分类标签数据， 形成分类标签集 LabelSet。 4.根据权利要求3所述的一种基于时空特征融合的网络攻击检测方法， 其特征在于， 利 用预处理后的网络流量数据和对应的分类标签集对GCN ‑BiGRU神经网络模 型进行训练和测 试得到训练后的GCN ‑BiGRU神经网络模型， 具体包括：权　利　要　求　书 2/5 页 3 CN 115277258 B 3