(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111502500.1 (22)申请日 2021.12.08 (71)申请人 北京六方云信息技 术有限公司 地址 100000 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 兰亭洋　王智民　王高杰　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 代理人 李婷 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 基于机器学习的ICMP检测方法、 系统、 设备 及介质 (57)摘要 本发明公开了一种基于机器学习的ICMP检 测方法、 系统、 设备及介质。 该方法包括： 采集实 时网络控制报文协议ICMP协议数据流； 通过数量 窗口滑动对所述实时网络ICMP协议数据流的数 据进行选取， 得到第一协议数据流； 提取所述第 一协议数据流的特征并计算， 得到计算结果； 通 过预设检测模 型对所述计算结果进行处理， 得到 预测概率。 本发明解决了检测方法对于ICMP协议 数据流的特征的提取不够全面的问题， 降低误报 率。 权利要求书2页 说明书14页 附图4页 CN 114363005 A 2022.04.15 CN 114363005 A 1.一种基于 机器学习的IC MP检测方法， 其特 征在于， 所述方法包括如下步骤： 采集实时网络控制报文协议 ICMP协议数据流； 通过数量窗口滑动对所述实时网络ICMP协议数据流的数据进行选取， 得到第一协议数 据流； 提取所述第一协议数据流的特 征并计算， 得到计算结果； 通过预设检测模型对所述计算结果进行处 理， 得到预测概 率。 2.根据权利要求1所述的基于机器学习的ICMP检测方法， 其特征在于， 所述通过预设检 测模型对所述计算结果进行处 理， 得到预测概 率的步骤之前包括： 获取ICMP协议数据包； 通过数量窗口滑动对所述 ICMP协议数据包的数据进行选取， 得到报文数据； 通过预设算法对所述报文数据进行训练， 得到所述预设检测模型。 3.根据权利要求2所述的基于机器学习的ICMP检测方法， 其特征在于， 所述通过预设算 法对所述报文数据进行训练， 得到所述预设检测模型的步骤 包括： 提取所述报文数据的特征并进行计算， 得到特征向量， 其中， 所述特征包括载荷特征， 统计量特 征； 通过所述预设算法对所述特 征向量进行训练， 得到所述预设检测模型。 4.根据权利要求1所述的基于 机器学习的IC MP检测方法， 其特 征在于， 所述采集实时网络控制报文协议 ICMP协议数据流的步骤 包括： 通过大数据平台采集实时网络控制报文协议 ICMP协议数据流； 所述通过数量窗口滑动对所述实时网络ICMP协议数据流的数据进行选取， 得到第一协 议数据流的步骤 包括： 通过所述大数据平台以数量窗口滑动对所述实时网络ICMP协议数据流的数据进行选 取， 得到第一协议数据流； 所述提取所述第一协议数据流的特 征并计算， 得到计算结果的步骤 包括： 通过所述大数据平台提取 所述第一协议数据流的特 征并计算， 得到计算结果； 所述通过预设检测模型对所述计算结果进行处 理， 得到预测概 率的步骤 包括： 通过所述大数据平台以预设检测模型对所述计算结果进行处 理， 得到预测概 率。 5.根据权利要求4所述的基于机器学习的ICMP检测方法， 其特征在于， 所述通过大数据 平台采集实时网络控制报文协议 ICMP协议数据流的步骤之前包括： 将所述预设检测模型部署在所述大 数据平台上； 所述通过预设检测模型对所述计算结果进行处 理， 得到预测概 率的步骤 包括： 从所述大数据平台上调用所述预设检测模型， 通过所述预设检测模型对所述计算结果 进行处理， 得到预测概 率。 6.根据权利要求3所述的基于机器学习的ICMP检测方法， 其特征在于， 所述通过所述预 设算法对所述特 征向量进行训练， 得到所述预设检测模型的步骤之前包括： 通过优化 算法对机器学习算法进行优化， 得到所述预设算法。 7.根据权利要求1所述的基于机器学习的ICMP检测方法， 其特征在于， 所述通过预设检 测模型对所述计算结果进行处 理， 得到预测概 率的步骤之后包括： 若所述预测概 率大于预设阈值， 则输出告警信息；权　利　要　求　书 1/2 页 2 CN 114363005 A 2若所述预测概 率小于所述预设阈值， 则丢弃 所述计算结果。 8.一种基于 机器学习的IC MP检测系统， 其特 征在于， 包括： 数据采集模块， 用于采集实时网络控制报文协议 ICMP协议数据流； 数量窗口滑动模块， 用于通过数量窗口滑动对所述实时网络ICMP协议数据流的数据进 行选取， 得到第一协议数据流； 特征提取模块， 用于提取 所述第一协议数据流的特 征并计算， 得到计算结果； 概率预测模块， 用于通过 预设检测模型对所述计算结果进行处 理， 得到预测概 率。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的基于机器学习的ICMP检测方法， 所述基于机器学习的ICMP检 测的程序被所述处理器执行时实现如权利要求 1‑7中任一项 所述的基于机器学习的ICMP检 测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有基于机 器学习的ICMP检测的程序， 所述基于机器学习的ICMP检测的程序被处理器执行时实现如权 利要求1‑7中任一项所述的基于 机器学习的IC MP检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114363005 A 3