(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111446094.1 (22)申请日 2021.11.30 (71)申请人 北京六方云信息技 术有限公司 地址 100000 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 安韬　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 代理人 李婷 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 网络攻击检测方法、 装置、 终端设备及存储 介质 (57)摘要 本发明公开了一种网络攻击检测方法、 装 置、 终端设备及存储介质， 通过 获取待检测数据； 将所述待检测数据输入预先创建的基于注意力 机制的深度学习模型， 得到检测结果； 在检测结 果大于预设阈值时， 判定存在网络攻击， 输出所 述检测结果相应的注意力分数对应的预设标识。 本发明解决了网络攻击检测模型解释性差的问 题， 提升了网络攻击 检测结果的可解释性。 权利要求书2页 说明书11页 附图5页 CN 114301630 A 2022.04.08 CN 114301630 A 1.一种网络攻击检测方法， 其特 征在于， 所述网络攻击检测方法包括以下步骤： 获取待检测数据； 将所述待检测数据输入预 先创建的基于注意力机制的深度学习模型， 得到检测结果； 在检测结果大于预设阈值时， 判定存在网络攻击， 输出所述检测结果相应的注意力分 数对应的预设标识。 2.如权利要求1所述的网络攻击检测方法， 其特征在于， 所述将所述待检测数据输入预 先创建的基于注意力机制的深度学习模型， 得到检测结果的步骤之前还 包括： 训练得到所述深度学习模型。 3.如权利要求2所述的网络攻击检测方法， 其特征在于， 所述训练得到所述深度 学习模 型的步骤 包括： 获取预先采集的样本数据； 通过所述深度 学习模型中的嵌入层对所述样本数据进行特征转化， 得到所述样本数据 的整体特 征表示； 通过所述深度 学习模型中的注意力层对所述整体特征表示进行处理， 得到注意力分数 与注意力层输出 结果； 通过所述深度 学习模型中的全连接层对所述注意力层输出结果进行计算， 得到预测结 果； 计算所述预测结果与所述样本数据的真实标签之间的误差损失函数； 将所述误差损 失函数回传到所述深度学习模型， 对所述嵌入层、 注意力层和全连接层 的参数进 行更新， 并返回执行步骤： 通过所述 嵌入层对所述样本数据进 行特征转化， 得到所 述样本数据的整体特 征表示； 以此循环， 进行参数迭代， 直至所述深度学习模型收敛， 终止训练， 得到所述深度学习 模型。 4.如权利要求3所述的网络攻击检测方法， 其特征在于， 所述通过所述深度学习 模型中 的嵌入层对所述样本数据进行 特征转化， 得到所述样本数据的整体特 征表示的步骤 包括： 通过所述嵌入层对所述样本数据进行特征转化， 得到所述样本数据中每个字符的特征 表示； 将全部所述字符的特 征表示按顺序进行拼接得到所述样本数据的整体特 征表示。 5.如权利要求3所述的网络攻击检测方法， 其特征在于， 所述通过所述深度学习 模型中 的注意力 层对所述整体特征表示进行 处理， 得到注意力分数与 注意力层输出结果的步骤包 括： 通过所述注意力层中的键模块将所述整体特 征表示转化为键整体特 征表示； 通过所述注意力层中的值模块将所述整体特 征表示转化为值整体特 征表示； 通过所述注意力层中的查询模块对所述键整体特征表示进行张量乘法， 得到注意力张 量； 对所述注意力张量进行维度压缩、 掩膜操作 与归一化处理， 得到所述注意力分数； 将所述注意力分数与 所述值整体特征表示的对应位置进行相乘求和， 得到所述注意力 层输出结果。 6.如权利要求3所述的网络攻击检测方法， 其特征在于， 所述通过所述深度学习 模型中权　利　要　求　书 1/2 页 2 CN 114301630 A 2的全连接层对所述注意力层输出 结果进行计算， 得到预测结果的步骤 包括： 通过所述全连接层将所述注意力层输出 结果的维度进行转 化， 得到转 化结果； 采用非线性激活函数将所述 转化结果进行分类， 得到所述预测结果。 7.如权利要求3所述的网络攻击检测方法， 其特征在于， 所述获取预先采集的样本数据 的步骤之前还 包括： 收集预定数量的网络攻击样本以及正常流 量网络地址样本， 组成样本数据。 8.一种网络攻击检测装置， 其特 征在于， 所述网络攻击检测装置包括： 数据获取模块， 用于获取待检测数据； 检测模块， 用于将所述待检测数据输入预先创建的基于注意力机制的深度学习模型， 得到检测结果； 判定输出模块， 用于在检测结果大于预设阈值 时， 判定存在网络攻击， 输出所述检测结 果相应的注意力分数对应的预设标识。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的网络攻击检测程序， 所述网络攻击检测程序被所述处理器执 行时实现如权利要求1 ‑7中任一项所述的网络攻击检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有 网络攻 击检测程序， 所述网络攻击检测程序被处理器执行时实现如权利要求1 ‑7中任一项所述的 网络攻击检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114301630 A 3