(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210980096.7 (22)申请日 2022.08.16 (65)同一申请的已公布的文献号 申请公布号 CN 115086082 A (43)申请公布日 2022.09.20 (73)专利权人 四川公众项目咨询管理有限公司 地址 610000 四川省成 都市自由贸易试验 区成都高新区府城 大道西段399号6号 楼9楼 (72)发明人 林兴武　罗明凌　刘畅　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 专利代理师 尹新路 (51)Int.Cl. H04L 9/40(2022.01)G06N 3/08(2006.01) G06N 3/04(2006.01) (56)对比文件 CN 113660196 A,2021.1 1.16 CN 112491891 A,2021.0 3.12 US 2020175 335 A1,2020.0 6.04 US 20202728 82 A1,2020.08.27 CN 112100614 A,2020.12.18 王蓉等.基 于联邦学习和卷积神经网络的入 侵检测方法. 《信息网络安全》 .2020,(第04期), 连鸿飞等.一种数据增强与混合神经网络的 异常流量检测. 《小型微型计算机系统》 .2020, (第04期), 审查员 房黎黎 (54)发明名称 基于深度学习的网络安全评估方法、 系统、 设备及介质 (57)摘要 本发明提出基于深度学习的网络安全评估 方法、 系统、 设备及介质， 首先通过建立卷积神经 网络模型， 初步提取网络数据特征， 然后通过建 立门控循环神经网络模型， 进一步提取网络数据 特征中的异常网络数据特征， 最后， 在门控循环 神经网络模 型的输出层之间设置隐藏层， 当门控 循环神经网络进行训练时训练过程会绕过隐藏 层， 异常网络数据无法获取隐藏层的工作原理， 无法对隐藏层进行攻击， 通过反向传播过程更新 隐藏层的权重， 将参数上传至参数服务器时， 通 过返回的学习率参数改变门控循环神经网络模 型的学习率实现对异常网络数据攻击的抵抗， 同 时收敛速度快、 准确率高、 误报率低。 权利要求书2页 说明书7页 附图2页 CN 115086082 B 2022.11.01 CN 115086082 B 1.一种基于深度学习的网络安全评估方法， 其特 征在于， 包括以下步骤： 步骤1： 将采集到的网络数据进行 预处理； 步骤2： 建立卷积神经网络模型， 提取 预处理后的网络数据的特 征； 步骤3： 建立门控循环神经网络模型， 提取网络数据的特征中的异常网络数据特征， 计 算异常网络数据的网络安全态 势值； 步骤4： 在门控循环神经网络模型的输出层 之间设置隐藏层， 当隐藏层接收到正向传播 的异常网络数据时， 门控循环神经网络模型更新隐藏层的权重， 反向传播异常 网络数据， 抵 抗异常网络数据的攻击； 所述步骤1具体包括以下步骤： 步骤11： 利用One ‑Hot编码将采集到的网络数据的离 散型特征转化为数值型 特征； 步骤12： 将经 过One‑Hot编码特 征转化后的数值型 特征进行标准化处理； 步骤13： 将标准 化处理后的网络数据的数值型 特征进行归一 化处理； 所述步骤2的具体操作为： 建立拥有输入层、 卷积层、 池化层、 全连接层的卷积神经网络 模型， 首先将归一化处理后网络数据的特征数值以序列为单位进行记录， 并对每一条记录 嵌入表示的数值型特征进行卷积处理， 得到卷积处理后的数值型特征， 然后将在不同大小 的卷积核中进 行卷积操作处理后的数值型特征进 行叠加， 得到网络数据的数值型特征的特 征序列， 最后， 池化层 减少从卷积层获取的网络数据的数值型特征的特征序列的参数数量， 将网络数据的数值型特征 的特征序列矩阵分为N个特征子矩阵， 并通过正向传播传递给卷 积神经网络模型的全连接层输出； 所述步骤3的具体操作为： 首先建立拥有输入层、 嵌入层、 输出层的门控循环神经网络 模型， 其次， 根据从卷积神经网络模型的全连接层接收到的网络数据的数值型特征的N个特 征子矩阵， 分配网络数据中属性不同的特征概率权重， 然后， 对异常网络数据进行特征提 取， 识别出异常网络数据的特征类型； 最后， 计算出异常网络数据的机密性、 异常网络数据 的可用性、 异常网络数据的完整性的和， 用异常网络数据的机密性、 异常网络数据的可用 性、 异常网络数据的完整性的和表示异常网络数据影响值， 根据异常网络数据影响值计算 异常网络数据的网络安全态 势值； 所述步骤4的具体操作为： 在门控循环神经网络模型的输出层 之间设置隐藏层， 并将隐 藏层的权重 设置为0， 当所有异常 网络数据影响值通过正向传播到达隐藏层时， 输出值计算 为0； 当提取到异常网络数据时， 服务器会检测到入侵并返回学习率参数， 门控循环神经网 络模型反向传播更新隐藏层权重， 并根据返回的学习率参数改变门控循环神经网络模型的 学习率抵抗异常网络数据的攻击 。 2.如权利要求1所述的一种基于深度 学习的网络安全评估方法， 其特征在于， 所述步骤 11的具体操作为： 首先确定出网络数据的数据范围， 然后确定出网络数据变量分类的值的 类别， 最后将网络数据变量分类的值映射 为整数值， 并将每 个整数值 转化为二进制向量。 3.如权利要求2所述的一种基于深度 学习的网络安全评估方法， 其特征在于， 所述步骤 11中在将整数值 转化为二进制向量时， 将整数值的索引标记为1， 非整数的索引标记为0 。 4.如权利要求1所述的一种基于深度 学习的网络安全评估方法， 其特征在于， 所述步骤 12的具体操作为： 将经过One ‑Hot编码转化后的数值型特征和n个数值型特征的平均值的差 值与每个数值型特征和n个数值型特征差值的平均值的绝对偏差的比值作为标准化处理后权　利　要　求　书 1/2 页 2 CN 115086082 B 2的数值型 特征。 5.如权利要求1所述的一种基于深度 学习的网络安全评估方法， 其特征在于， 所述步骤 13的具体操作为： 将标准化处理后的网络数据的数值型特征进行线性变换， 将网络数据 统 一映射到[0,1]区间上。 6.一种网络安全评估系统， 其特征在于， 包括采集模块、 提取模块、 评估模块、 处理模 块； 所述采集模块， 用于采集网络数据， 并对网络数据进行 预处理； 所述提取模块， 用于建立拥有输入层、 卷积层、 池化层、 全连接层的卷积神经网络模型， 首先将预 处理后网络数据的特征数值以序列为单位进 行记录， 并对每一条记录嵌入表示的 数值型特征进行卷积处理， 得到卷积处理后的数值型特征， 然后将在不同大小的卷积核中 进行卷积操作处理后的数值型特征进行叠加， 得到网络数据的数值型特征 的特征序列， 最 后， 池化层减少从卷积层获取 的网络数据的数值型特征 的特征序列的参数数量， 将网络数 据的数值型特征 的特征序列矩阵分为N个特征子矩阵， 并通过正向传播传递给卷积神经网 络模型的全连接层输出； 所述评估模块， 用于提取网络数据的特征中的异常网络数据特征， 计算异常网络数据 的网络安全态势 值； 首先建立拥有输入层、 嵌入层、 输出层的门控循环神经网络模 型， 其次， 根据从卷积神经网络模型 的全连接层接 收到的网络数据的数值型特征 的N个特征子矩阵， 分配网络数据中属性不同的特征概率权重， 然后， 对异常 网络数据进 行特征提取， 识别出异 常网络数据的特征类型； 最后， 计算出异常网络数据的机密性、 异常网络数据的可用性、 异 常网络数据的完整性的和， 用异常 网络数据的机密性、 异常 网络数据的可用性、 异常网络数 据的完整性的和表示异常网络数据影响值， 根据异常网络数据影响值计算异常 网络数据的 网络安全态 势值； 所述处理模块， 用于在门控循环神经网络模型的输出层之间设置隐藏层， 并将隐藏层 的权重设置为0， 当所有异常 网络数据影响值通过正向传播到达隐藏层时， 输出值计算为0； 当提取到异常网络数据时， 服务器会检测到入侵并返回学习率参数， 门控循环神经网络模 型反向传播更新隐藏层权重， 并根据返回的学习率参数改变门控循环神经网络模型的学习 率抵抗异常网络数据的攻击 。 7.一种电子设备， 其特 征在于， 包括存 储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1 ‑5任一项所述的网络安全评估 方法。 8.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求1 ‑5任一项所述的网络安全评估方 法。权　利　要　求　书 2/2 页 3 CN 115086082 B 3