(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211124672.4 (22)申请日 2022.09.15 (71)申请人 上海视岳计算机科技有限公司 地址 200000 上海市杨 浦区隆昌路58 8 1号 26楼2602-60室 (72)发明人 滕景伟　宋俊竞　许磊　 (74)专利代理 机构 北京卓恒知识产权代理事务 所(特殊普通 合伙) 11394 专利代理师 龙世和 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/104(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于AI技术的网络安全缺陷检测方法 及系统 (57)摘要 本发明提供了一种基于AI技术的网络安全 缺陷检测方法及系统， 涉及网络安全检测技术领 域， 所述方法包括： 获取数据包， 数据包包括待检 测网络的通信数据； 对数据包进行预处理得到第 一特征数据， 第一特征数据包 括源IP与目的IP之 间的特征数据； 根据第一特征数据得到第一特征 图； 利用自注 意力机制对第一特征图的邻节点特 征信息的权重进行学习， 利用学习到的权重对每 个邻节点特征信息进行加权， 并结合所述第一特 征图输入至预先训练好的神经网络模 型， 输出检 测结果， 本发 明通过引入注意力机制改进了神经 网络模型更新中心节点特征状态， 能够更好的表 达邻节点受中心 节点的影响。 权利要求书3页 说明书8页 附图3页 CN 115499212 A 2022.12.20 CN 115499212 A 1.一种基于AI 技术的网络安全缺陷检测方法， 其特 征在于： 获取数据包， 所述数据包 包括待检测网络的通信数据； 对所述数据包进行预处理得到第一特征数据， 所述第一特征数据包括源IP与目的IP之 间的特征数据； 根据所述第一特 征数据得到第一特 征图； 利用自注意力 机制对所述第 一特征图的邻节点特征信 息的权重进行学习， 利用学习到 的权重对每个所述邻节点特征信息进 行加权， 并结合所述第一特征图输入至预先训练好的 神经网络模型， 输出检测结果。 2.根据权利要求1所述的基于AI技术的网络安全缺陷检测方法， 其特征在于， 所述对所 述数据包进行 预处理得到第一特 征数据， 包括： 获取预设的过 滤规则； 将所述数据包进行去重处 理得到去重后的数据包； 根据所述过滤规则对去重后的所述数据包中的通信数据进行过滤， 得到第一特征数 据。 3.根据权利要求1所述的基于AI技术的网络安全缺陷检测方法， 其特征在于， 所述根据 所述第一特 征数据得到第一特 征图， 包括： 获取每个节点的节点信 息和每个节点的节点介数中心性信 息， 所述节点信 息包括每个 节点的出度信息和入度信息； 利用图分析算法将所述第 一特征数据转化为第 二特征图， 所述第 二特征图包括每个节 点的拓扑关系； 根据所述第 二特征图和所述节点信 息得到第 三特征图， 所述第 三特征图包括每个节点 间的权重； 根据所述第 二特征图和所述节点介数中心性信 息得到第四特征图， 所述第四特征图包 括每个节点的中心性系数； 将所述第二特征图、 所述第三特征图和所述第四特征图进行融合得到所述第一特征 图。 4.根据权利要求1所述的基于AI技术的网络安全缺陷检测方法， 其特征在于， 所述利用 自注意力机制对所述第一特 征图的邻节点特 征信息的权 重进行学习， 包括： 利用神经协同过滤算法对所述第一特征图进行计算， 得到第一特征向量， 所述第一特 征向量包括每 个邻节点到中心 节点的相似度； 将所述第一特 征向量进行均一 化操作， 得到加权计算的权 重。 5.根据权利要求1所述的基于AI技术的网络安全缺陷检测方法， 其特征在于， 所述获取 数据包之前， 包括： 获取训练集和测试集， 所述训练集包括表征正常网络流量的样本集和表征僵尸网络流 量的样本集， 所述表征正常 网络流量的样本集和所述表征僵尸网络流量的样本集预设占比 的流量数据作为所述训练集； 通过所述训练集中的流 量样本对神经网络模型进行训练， 得到经 过训练的流 量数据； 通过所述测试集中的流量数据对所述经过训练的神经网络模型进行测试， 得到经过训 练测试的神经网络模型。权　利　要　求　书 1/3 页 2 CN 115499212 A 26.一种基于AI 技术的网络安全缺陷检测系统， 其特 征在于： 获取模块， 用于获取 数据包， 所述数据包 包括待检测网络的通信数据； 第一处理模块， 用于对所述数据包进行预处理得到第一特征数据， 所述第一特征数据 包括源IP与目的IP之间的特 征数据； 第二处理模块， 用于根据所述第一特 征数据得到第一特 征图； 检测模块， 用于利用自注意力 机制对所述第 一特征图的邻节点特征信 息的权重进行学 习， 利用学习到的权重对每个所述邻节点特征信息进行加权， 并结合所述第一特征图输入 至预先训练好的神经网络模型， 输出检测结果。 7.根据权利要求6所述的基于AI技术的网络安全缺陷检测系统， 其特征在于， 所述第一 处理模块， 包括： 第一获取 单元， 用于获取 预设的过 滤规则； 第一处理单元， 用于将所述数据包进行去重处 理得到去重后的数据包； 过滤单元， 用于根据所述过滤规则对去重后的所述数据包中的通信数据进行过滤， 得 到第一特 征数据。 8.根据权利要求6所述的基于AI技术的网络安全缺陷检测系统， 其特征在于， 所述第二 处理模块， 包括： 第二获取单元， 用于获取每个节点的节点信息和每个节点的节点介数中心性信息， 所 述节点信息包括每 个节点的出度信息和入度信息； 转化单元， 用于利用图分析算法将所述第一特征数据转化为第二特征图， 所述第二特 征图包括每 个节点的拓扑关系； 第二处理单元， 用于根据所述第二特征图和所述节点信息得到第三特征图， 所述第三 特征图包括每 个节点间的权 重； 第三处理单元， 用于根据所述第二特征图和所述节点介数中心性信息得到第四特征 图， 所述第四特 征图包括每 个节点的中心性系数； 融合单元， 用于将所述第二特征图、 所述第三特征图和所述第 四特征图进行融合得到 所述第一特 征图。 9.根据权利要求6所述的基于AI技术的网络安全缺陷检测系统， 其特征在于， 所述检测 模块， 还包括： 计算单元， 用于利用神经协同过滤算法对所述第一特征图进行计算， 得到第一特征向 量， 所述第一特 征向量包括每 个邻节点到中心 节点的相似度； 第四处理单元， 用于将所述第一特 征向量进行均一 化操作， 得到加权计算的权 重。 10.根据权利要求6所述的基于AI技术的网络安全缺陷检测系统， 其特征在于， 所述获 取模块之前， 还 包括： 第三获取单元， 用于获取训练集和测试集， 所述训练集包括表征正常网络流量的样本 集和表征僵尸网络流量的样本集， 所述表征正常 网络流量的样本集和所述表征僵尸网络流 量的样本集预设占比的流 量数据作为所述训练集； 训练单元， 用于通过所述训练集中的流量样本对神经网络模型进行训练， 得到经过训 练的流量数据； 测试单元， 用于通过所述测试集中的流量数据对所述经过训练 的神经网络模型进行测权　利　要　求　书 2/3 页 3 CN 115499212 A 3