(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111612244.1 (22)申请日 2021.12.27 (65)同一申请的已公布的文献号 申请公布号 CN 114257454 A (43)申请公布日 2022.03.29 (73)专利权人 电子科技大 学 地址 611731 四川省成 都市高新区 （西区） 西源大道 2006号 (72)发明人 丁旭阳　刘子为　谢盈　刘政奇　 李世鹏　朱智光　杨旭　 (74)专利代理 机构 电子科技大 学专利中心 51203 专利代理师 周刘英 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (56)对比文件 CN 106453033 A,2017.02.2 2 CN 111860628 A,2020.10.3 0 CN 112733044 A,2021.04.3 0CN 112215201 A,2021.01.12 CN 112235305 A,2021.01.15 代志康等.一种基 于ResNet的网络流 量识别 方法. 《北京信息科技大 学学报(自然科 学版)》 .2020,(第01期), 齐彩云等.基 于卷积神经网络的恶意软件检 测与分类 研究. 《现代计算机(专业版)》 .2019, (第09期), Lei Chen等. 《Adapti ng Grad- CAM for Embedding Networks》 . 《arxiv》 .2020, weixin_41299233. 《CAM和gradCAM原理》 . 《https://blog.csdn.net/weixi n_41299233/ article/detai ls/103872537》 .2020, Guo, SW (Guo, Shengwen)等. 《Co nversion Discrimi native Analysis o n Mild Cognitive Impairment Usi ng Multiple Cortical Features from MR Ima ges》 . 《FRONTIERS I N AGING NEUROSCIENC E》 .2017, (续) 审查员 王甜甜 (54)发明名称 适用于工控系统中基于特征热力图的恶意 流量识别方法 (57)摘要 本发明公开了一种适用于工控系统中基于 特征热力图的恶意流量识别方法， 该方法基于每 个特征对于卷积神经网络模型分类结果的影响 程度不同， 通过热力图机制， 对特征进行重新排 序， 进而对特征在图片上的位置产生影响； 同时 卷积神经网络进行图片分类时， 对图像部分区域 的敏感程度更高， 因此将更重要的特征放置于卷 积神经网络的敏感区域， 更有益于区分恶意流 量。 本发明应用于已经存在 恶意流量识别应用的 工控系统中， 工控系统将进一步提升已有应用的 识别模型的准确率。 [转续页] 权利要求书3页 说明书8页 附图2页 CN 114257454 B 2022.10.14 CN 114257454 B (56)对比文件 M. Wagner， F. Fisc her, R. Luh, A. Haberson1, A. Ri nd， D. A. K ei. 《A Survey of Visual ization Systems for Mal ware Analysis》 . 《Ko nstanzer On line- Publikations-System (KOP S)》 .2015, Inbaraj, X.A.， Jyh -Horng Jeng. 《Mask- GradCAM: Object Identificati on and Localization of Visual Presentati on for Deep Convolutional Netw ork》 . 《2021 6th Internati onal Conference o n Inventive Computati on Technologies (ICICT)》 .2021, 杨旭;张书铭;高博;曹京 京. 《基于用户特 征 的容量预测方案 研究》 . 《电信工程 技术与标准 化》 .2020, 豆浆机. 《Ap pearance-and-Relati on Networks for Video Clas sificati on》 . 《https://zhuanlan.zhihu.com/p/ 35052377》 .2018, 王美. 《网络流 量日志可视化关键技 术研究 与实现》 . 《中国硕士学位 论文全文数据库 信息 技术辑》 .2017,2/2 页 2[接上页] CN 114257454 B1.一种适用于工控系统中基于特征热力图的恶意流量识别方法， 其特征在于， 该方法 通过工控系统中的恶意 流量识别系统实现， 该 方法包括以下步骤： S1)准备数据集， 搭建卷积神经网络， 根据初始的特征顺序制作初始特征像素映射关系 图， 其中， 所述数据集中的数据为分类完成的会话流统计数据， 特征像素关系映射图表示每 个特征在图片中的像素对应区域， 即像素点与特征之间的对应关系； 同时， 建立初始的特征 权重表， 将 每个特征的初始特征权值设置为默认 值0， 并设置准确率和召回率的阈值分别为 r_acc和r_recal l； S2)每一轮训练时， 采用特征像素映射关系图将所述数据集中每一条数据转化为对应 的流量灰度图， 采用流量灰度图对所述卷积神经网络进行训练， 得到训练完成的卷积神经 网络模型， 第r轮训练的准确率和召回率记为pre_ac cr和pre_recal lr； S3)利用训练完成的卷积神经网络模型使用GradCam算法， 对每 张流量灰度图分别生成 对应的热力图， 在生成的所有 热力图中随机选取一张热力图作为下一轮训练流量灰度图生 成的基准， 选取 的这张热力图被标记为基准图， 热力图的图片大小和流量灰度图的图片大 小一致； S4)判断pre_accr是否大于或等于r_acc， 以及pre_recallr是否大于或等于r_recall这 两个条件是否成立， 如果上述两个条件均成立则进入步骤S 5)； 如果上述两个条件至少一个 不成立， 则根据特征像素映射关系图对每张热力图进 行统计； 在热力图中， 如果像素点对于 分类结果有贡献， 则对应像素点的热力值大于0； 如果因为整流函数导致无贡献的像素点， 其热力值为0， 热力值的高低代表了像素点对于分类结果贡献程度的大小； 统计每个特征被 命中的次数， 即特征对应的像素区域中大于热力图像素平均值的热力值的个数， 将特征按 照特征权值从高到低进行排序， 其中特征权值的更新按照预设公式进行计算， 特征权值最 高的特征放在步骤S3)所述基准图中热力值最高的位置， 特征权值次高的特征放置在所述 基准图中热力值次高的区域， 依此逻辑将所有特征 的区域规划完毕， 得到下一轮训练的特 征像素映射关系图， 重新初始化特 征权重表， 并重新执 行步骤S2)； S5)保存训练完成的特征像素映射图、 训练完成的卷积神经网络模型， 并将训练完成的 特征像素映射图和训练完成的卷积神经网络模 型应用到恶意流量识别系统的使用阶段； 恶 意流量识别系统采集工控系统中的流量， 提取出对应的数据流， 利用迭代完成的特征像素 映射关系图将该数据流转化为对应的流量灰度图， 使用训练完成的卷积神经网络模型对生 成的流量灰度图进行一 一分类和识别； 所述恶意流量识别系统在使用阶段依次包括： 流量包预处理模块、 特征提取模块、 流量 灰度图生成模块和流量分类模块， 其中， 恶意流量识别模型， 即训练完成的卷积神经网络模 型， 归属于流量分类模块中； 上述所有模块的工作方式为： 工控流量进入所述流量包预 处理 模块进行会话流的切割， 输出切割完成的会话流到所述特征提取模块， 在所述特征提取模 块中对会话流的统计特征进行提取， 将每个会话流的特征输入到所述流量灰度图生成模 块， 其中特征像素映射关系图， 即特征重组机制的结果， 作用于所述流量灰度图生成模块， 根据特征像素映射关系图将 每一条特征数据生成对应的一张流量灰度图； 在所述流量分类 模块中， 由训练完成的卷积神经网络模型对流量灰度图进行判断， 得出流量灰度图的分类 结果， 并转 化为对应会话 流是否具有 恶意行为； 其中， 所述 步骤S4)中所述热力图像素平均值的计算以及特 征权值的更新方法具体为：权　利　要　求　书 1/3 页 2 CN 114257454 B 3