(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111558864.1 (22)申请日 2021.12.20 (71)申请人 四川师范大学 地址 610000 四川省成 都市锦江区静安路5 号 (72)发明人 李焕洲　唐彰国　张健　蔡程　 李双成　 (74)专利代理 机构 成都为知盾专利代理事务所 (特殊普通 合伙) 51267 代理人 李汉强 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/08(2006.01) (54)发明名称 一种网络流 量的马尔科 夫图像表征方法 (57)摘要 本发明公开了一种网络流量的马尔科夫图 像表征方法， 属于机器学习技术领域， 包括： S1： 获取原始流量数据包， 并对所述原始流量数据包 进行预处理； S2： 采用统计过滤的方法， 将预处理 后的原始流量数据包按会话形式存储为会话文 件； S3： 以二进制格式打开并读取所述会话文件； S4： 获取二进制会话文件， 以字节为单位计算会 话文件的转移概率矩阵， 然后将矩阵值与像素一 一映射， 得到该会话文件的马尔科夫图像。 其目 的为： 解决现有技术中样本训练时模 型泛化能力 较差以及预处 理繁琐的情况。 权利要求书2页 说明书6页 附图5页 CN 113949589 A 2022.01.18 CN 113949589 A 1.一种网络流 量的马尔科 夫图像表征 方法， 其特 征在于， 包括： 步骤1： 获取原 始流量数据包， 并对所述原 始流量数据包进行 预处理； 步骤2： 采用统计过滤的方法， 将预处理后的原始流量数据包按会话形式存储为会话文 件； 步骤3： 以二进制格式打开并读取 所述会话文件； 步骤4： 获取二进制会话文件， 以字节为单位计算会话文件的转移概率矩阵， 然后将矩 阵值与像素一 一映射， 得到该会话文件的马尔科 夫图像。 2.根据权利要求1所述的一种网络流量的马尔科夫图像表征方法， 其特征在于， 所述原 始流量数据包的文件格式包括数种离线文件格式； 所述原始 流量数据包的类型包括数种类 型。 3.根据权利要求2所述的一种网络流量的马尔科夫图像表征方法， 其特征在于， 所述原 始流量数据包的类型具体包括正常流量类型、 加密流量类型、 应用流量类型和攻击流量类 型； 所述原 始流量数据包的格式具体包括pcap格式和cap格式。 4.根据权利要求1所述的一种 网络流量的马尔科夫图像表征方法， 其特征在于， 步骤2 中将预处理后的原始 流量数据存储为会话文件具体为： 采用会话形式对原始 流量数据包进 行切分， 切分后存 储原始流量数据包中的所有内容。 5.根据权利要求4所述的一种 网络流量的马尔科夫图像表征方法， 其特征在于， 步骤2 中， 所述会话形式为双向流， 包括流的两个方向， 即源IP和目的IP、 源端口和目的端口是互 换的。 6.根据权利要求5所述的一种网络流量的马尔科夫图像表征方法， 其特征在于， 所述会 话文件包括存储时间、 源IP、 目的IP、 协议类型和会话长度。 7.根据权利要求1所述的一种 网络流量的马尔科夫图像表征方法， 其特征在于， 步骤2 具体为： 步骤2.1： 对原 始流量数据包进行流 量统计及过 滤； 步骤2.2： 然后将整个原 始流量数据包以会话 为单位进行切分； 步骤2.3： 将切分后的多个会话依次保存为会话文件， 每一个会话对应一个会话文件。 8.根据权利要求1所述的一种 网络流量的马尔科夫图像表征方法， 其特征在于， 步骤4 具体为： 步骤4.1： 获取二进制会话文件， 以字节为单位进行读取； 步骤4.2： 对于两个相邻的字节 X1和字节X2,由于字节 X2出现的概率只与字节 X1有关， 由 此得到P(X2|X1)的转移概 率矩阵， 其公式为： ；权　利　要　求　书 1/2 页 2 CN 113949589 A 2其中，Px1,x2为转移概率，x1和x2分别为字节流中两个相邻的字节 X1和字节X2的实际值； Px1,x2的计算公式为： 其中 表示x2紧随x1出现的频率； 步骤4.3:将得到的转移概率矩阵进行扩展， 其中每个元素乘以255， 使每个元素的值从 区间[0,1]扩展到[0,25 5]内； 步骤4.4： 将扩展后的转移概率矩阵转化为图像， 其中转移概率矩阵中每一位元素值即 对应256*256图像中该位的像素值， 将转移概率矩阵和图像一一对应得到马尔科夫图像， 完 成会话文件的马尔科 夫图像转换。权　利　要　求　书 2/2 页 3 CN 113949589 A 3