[发明专利]基于权重网络模型的深度包检测方法

权利要求书

1.基于权重网络模型的深度包检测方法，其特征在于：所述基于权重网络模型的深度包检测方法具体步骤如下步骤：

S1：获取概念：权重网络是基于机器学习模型，经过简化和改良形成的，其核心思想为概率映射；

S2：特征图分析：以微软应用TEAMS为例，先形成特征图，其中黑色数据代表：在payload中第几字节(横坐标)取值0-255(纵坐标)中任意一值的概率超过10％(十万数据，统计次数超过一万的)；

S3：特征映射：通过特征图已经明确了私有协议的特征，之后就需要将这些特征从概率的形式转化为权重的形式，这时就需要用到一个映射函数(由0-1的概率映射到0-20的权重)；

S4：模型计算：根据模型的字节位置(横坐标)和字节数值(纵坐标)生成横纵坐标，将50个横纵坐标上的权重进行累加就得到了预测值；

S5：模型识别率和相识流量识别结果类比。

2.根据权利要求1所述的基于权重网络模型的深度包检测方法，其特征在于：根据权重网络的概念介绍，包括如下步骤：

S101：对不同应用的数据包进行反复分析，发现其私有协议在payload部分的取值成概率型分布；

S102：基于S101这一特点，可以通过大量数据的累积来放大其协议的特征，并将这些特征转化为可计算的模型。

3.根据权利要求1所述的基于权重网络模型的深度包检测方法，其特征在于：通过特征图可以得知TEAMS应用的数据包前50字节的分布情况。

4.根据权利要求1所述的基于权重网络模型的深度包检测方法，其特征在于：通过函数映射后可以获得到权重模型。

5.根据权利要求1所述的基于权重网络模型的深度包检测方法，其特征在于：将训练集中的数据放入模型，获得一个预测值图。

6.根据权利要求1所述的基于权重网络模型的深度包检测方法，其特征在于：将阈值设定好后，开始测试模型的准确度。

7.根据权利要求1所述的基于权重网络模型的深度包检测方法，其特征在于，包括：模型升维、数据结构设计、模型初始化和程序内的识别流程；

所述模型升维，将原有只有字节位置和字节数值这两个维度中引入第三个维度应用标签，即把二维模型升维为三维模型；

所述数据结构设计，先建立一个结构体数组，其中的有四位成员：应用标签、Mark值、阈值和指向二维数组的指针；

所述模型初始化，通过DB文件和TXT文件可在程序刚启动时完成模型的构建；

所述程序内的识别流程，数据包流转到模型节点以后，将会通过索引遍历所有的模型，并将所得到的预测值与阈值的差值保存到一个结果集中。