WO2023125435A1

WO2023125435A1 - 基于tf-idf算法的定向网络检测方法、装置、设备及介质

Info

Publication number: WO2023125435A1
Application number: PCT/CN2022/142008
Authority: WO
Inventors: 王昶; 左绘; 刘畅; 刘奇峰; 王程
Original assignee: 天翼物联科技有限公司
Priority date: 2021-12-27
Filing date: 2022-12-26
Publication date: 2023-07-06
Also published as: CN114268559A; CN114268559B

Abstract

本发明涉及物联网领域，提供一种基于TF-IDF算法的定向网络检测方法、装置、设备及介质，能够对采集的CAP包进行分割，得到每条报文，根据每条报文的基础特征生成数据窗格，采用TF-IDF算法，基于数据窗格确定每条报文的协议类型，根据每条报文的协议类型提取每条报文的回填特征对数据窗格进行回填，得到目标窗格，根据第一名单及第二名单对目标窗格中的每条报文进行标记，得到检测报告，根据检测报告计算目标定向网络的连通性匹配度，输出检测报告及连通性匹配度。利用本发明能够基于TF-IDF算法快速匹配报文相关协议类型，并结合配置的名单对报文进行标记，无需人工介入，即可快速准确的实现对定向网络的检测。

Description

基于TF-IDF算法的定向网络检测方法、装置、设备及介质

技术领域

本发明涉及物联网技术领域，尤其涉及一种基于TF-IDF算法的定向网络检测方法、装置、设备及介质。

背景技术

定向业务是物联网领域重要的营收业务之一，定向业务业务受理存在开通客户多、客户通道多、控制策略多等因素，因此，对客户开通的定向业务网络连通性调测成了交付前重要的环节。

目前，客户定向业务定制化程度较高，受理人员通过网络抓包和wireshark等专业工具进行解析后，仍然需要专业人员通过人力筛选特定协议、IP(Internet Protocol，网际互连协议)、URL(Uniform Resource Locator，统一资源定位器)以及域名等关键信息，并对每一条网络报文从物理层到应用层，层层点开观察后进行信息的提取。

上述处理方式中，重复性工作量较大、人工成本较高，同时，匹配效率和准确率也不高。

发明内容

鉴于以上内容，有必要提供一种基于TF-IDF算法的定向网络检测方法、装置、设备及介质，旨在解决定向网络检测效率低及准确率低的问题。

一种基于TF-IDF算法的定向网络检测方法，所述基于TF-IDF算法的定向网络检测方法包括：

响应于对目标定向网络的检测指令，基于网元采集从所述目标定向网络上捕获到的CAP包；

对所述CAP包进行分割，得到所述CAP包中携带的每条报文；

提取每条报文的基础特征，并根据每条报文的基础特征生成数据窗格；

采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型；

根据每条报文的协议类型提取每条报文的回填特征；

利用每条报文的回填特征对所述数据窗格进行回填，得到目标窗格；

获取预先配置的第一名单及第二名单，并根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记，得到检测报告；

根据所述检测报告计算所述目标定向网络的连通性匹配度；

输出所述检测报告及所述连通性匹配度。

根据本发明优选实施例，所述对所述CAP包进行分割，得到所述CAP包中携带的每条报文包括：

获取起始标识符及结束标识符；

将所述起始标识符及所述结束标识符确定为分割点对所述CAP包进行分割；

对于分割后得到的每段数据，将所述起始标识符确定为报文起点，将所述结束标识符确定为报文终点，得到所述CAP包中携带的每条报文。

根据本发明优选实施例，所述采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型包括：

从所述数据窗格中读取每条报文中每个基础特征的出现次数，及每条报文中所有基础特征出现的总次数；

计算每个基础特征的出现次数与所述总次数的商，得到每条报文中每个基础特征的出现频率；

获取预先配置的报文协议字典，其中，所述报文协议字典用于存储协议类型与特征的映射关系；

确定所述报文协议字典中每个协议类型的数量；

确定所述报文协议字典中每个基础特征的数量；

计算每个基础特征的数量与预设值的和，得到每个基础特征的基础值；

计算每个协议类型的数量与每个基础特征的基础值的商的对数值，得到每个基础特征相对于每个协议类型的逆频率；

计算每个基础特征的出现频率与每个基础特征相对于每个协议类型的频率的乘积，得到每个基础特征相对于每个协议类型的权重；

计算每条报文中的所有基础特征相对于每个协议类型的权重的总和，得到每条报文相对于每个协议类型的契合度；

将所述契合度最高的协议类型确定为每条报文的协议类型。

根据本发明优选实施例，所述根据每条报文的协议类型提取每条报文的回填特征包括：

根据每条报文的协议类型确定每条报文的回填特征所属的字段；

根据每条报文的回填特征所属的字段从每条报文中提取每条报文的回填特征。

根据本发明优选实施例，所述第一名单用于存储禁止访问所述目标定向网络的对象的特征，所述第二名单用于存储允许访问所述目标定向网络的对象的特征，所述根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记包括：

从所述目标窗格中读取每条报文的回填特征；

利用每条报文的回填特征与所述第一名单中对象的特征进行匹配，并对匹配到的报文进行第一标记；

利用每条报文的回填特征与所述第二名单中对象的特征进行匹配，并对匹配到的报文进行第二标记；

对未与所述第一名单匹配成功，且未与所述第二名单匹配成功的报文进行第三标记。

根据本发明优选实施例，所述根据所述检测报告计算所述目标定向网络的连通性匹配度包括：

从所述检测报告中获取具有所述第二标记的报文的数量作为第一数量；

从所述检测报告中获取具有所述第三标记的报文的数量作为第二数量；

计算所述第一数量与所述第二数量的和，得到第三数量；

从所述检测报告中获取所有报文的总数量；

计算所述第三数量与所述总数量的商，得到所述目标定向网络的连通性匹配度。

根据本发明优选实施例，在输出所述检测报告及所述连通性匹配度后，所述方法还包括：

当所述连通性匹配度不等于1时，发出提示信息；

其中，所述提示信息用于提示所述目标定向网络存在异常访问情况，并提示查看所述检测报告。

一种基于TF-IDF算法的定向网络检测装置，所述基于TF-IDF算法的定向网络检测装置包括：

采集单元，用于响应于对目标定向网络的检测指令，基于网元采集从所述目标定向网络上捕获到的CAP包；

分割单元，用于对所述CAP包进行分割，得到所述CAP包中携带的每条报文；

生成单元，用于提取每条报文的基础特征，并根据每条报文的基础特征生成数据窗格；

确定单元，用于采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型；

提取单元，用于根据每条报文的协议类型提取每条报文的回填特征；

回填单元，用于利用每条报文的回填特征对所述数据窗格进行回填，得到目标窗格；

标记单元，用于获取预先配置的第一名单及第二名单，并根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记，得到检测报告；

计算单元，用于根据所述检测报告计算所述目标定向网络的连通性匹配度；

输出单元，用于输出所述检测报告及所述连通性匹配度。

一种计算机设备，所述计算机设备包括：

存储器，存储至少一个指令；及

处理器，执行所述存储器中存储的指令以实现所述基于TF-IDF算法的定向网络检测方法。

一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被计算机设备中的处理器执行以实现所述基于TF-IDF算法的定向网络检测方法。

由以上技术方案可以看出，本发明能够基于TF-IDF算法快速匹配报文相关协议类型，并结合配置的名单对报文进行标记，无需人工介入，即可快速准确的实现对定向网络的检测。

附图说明

图1是本发明基于TF-IDF算法的定向网络检测方法的较佳实施例的流程图。

图2是本发明基于TF-IDF算法的定向网络检测装置的较佳实施例的功能模块图。

图3是本发明实现基于TF-IDF算法的定向网络检测方法的较佳实施例的计算机设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

如图1所示，是本发明基于TF-IDF算法的定向网络检测方法的较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

所述基于TF-IDF算法的定向网络检测方法应用于一个或者多个计算机设备中，所述计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程门阵列(Field-Programmable Gate Array，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述计算机设备可以是任何一种可与用户进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(Internet Protocol Television，IPTV)、智能式穿戴式设备等。

所述计算机设备还可以包括网络设备和/或用户设备。其中，所述网络设备包括，但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量主机或网络服务器构成的云。

所述服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者由数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。

人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。

所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

S10，响应于对目标定向网络的检测指令，基于网元采集从所述目标定向网络上捕获到的CAP包。

在本实施例中，所述目标定向网络是指特定对象可访问的网络。

在本实施例中，所述网元可以包括，但不限于：PGW(PDN GateWay，PDN网关)等。

在本实施例中，所述CAP包可以是16进制的cap文件，或者pcap等类型的cap文件等。

S11，对所述CAP包进行分割，得到所述CAP包中携带的每条报文。

在本发明的至少一个实施例中，所述对所述CAP包进行分割，得到所述CAP包中携带的每条报文包括：

获取起始标识符及结束标识符；

例如：当所述起始标识符为第一标识符，所述结束标识符为第二标识符时，则分割后加载所述第一标识符及所述第二标识符中间的数据即为一条报文。

通过上述实施方式，能够根据标识符实现对所述CAP包的自动分割，以提取出所述CAP包中的每条报文。

S12，提取每条报文的基础特征，并根据每条报文的基础特征生成数据窗格。

在本发明的至少一个实施例中，所述基础特征可以包括，但不限于以下一种或者多种特征的组合：

源地址Src、目的地址Dest、源端口SrcPort、目的端口DestPort、基础协议类型Protocol等。

进一步地，以每条报文为列，并将每条报文的基础特征放在每条报文后面的方格中，形成所述数据窗格，具体可以参见下表：

报文1	基础特征1	基础特征2	基础特征3	基础特征4
报文2	基础特征1	基础特征2	基础特征3	基础特征4
报文3	基础特征1	基础特征2	基础特征3	基础特征4
报文4	基础特征1	基础特征2	基础特征3	基础特征4
报文5	基础特征1	基础特征2	基础特征3	基础特征4

通过上述实施方式，能够生成数据窗格，以供后续的数据处理使用。

S13，采用TF-IDF(term frequency-inverse document frequency)算法，基于所述数据窗格确定每条报文的协议类型。

在本发明的至少一个实施例中，所述采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型包括：

确定所述报文协议字典中每个协议类型的数量；

确定所述报文协议字典中每个基础特征的数量；

将所述契合度最高的协议类型确定为每条报文的协议类型。

例如：所述报文协议字典中可以存储：DNS(Domain Name Server，域名解析)协议，及所述DNS协议对应的特征“端口53”；GTP(GPRS隧道协议)协议，及所述GTP协议对应的特征“端口2152”；GTP＜HTTP＞协议，及所述GTP＜HTTP＞协议对应的特征“端口80”。

通过上述实施方式，能够基于TF-IDF算法及配置的报文协议字典，实现对每天报文的协议类型的自动匹配，无需人为介入，计算效率较高，且由于有效避免了人为参与带来的误操作问题，准确率也较高。

S14，根据每条报文的协议类型提取每条报文的回填特征。

在本发明的至少一个实施例中，所述根据每条报文的协议类型提取每条报文的回填特征包括：

例如：所述回填特征可以包括，但不限于：IP(Internet Protocol，网际互连协议)、URL(uniform resource locator，统一资源定位系统)、域名等特征。

可以理解的是，不同于所述基础特征在每种协议类型下都具有固定字段，所述回填特征在每种协议类型下所属的字段也是不同的，因此，需要根据不同的协议类型进行提取。

通过上述实施方式，能够基于报文的协议类型对回填特征进行针对性的提取，且无需人工介入。

S15，利用每条报文的回填特征对所述数据窗格进行回填，得到目标窗格。

在本实施例中，可以将每条报文的回填特征添加在对应的报文特征后面，得到所述目标窗格，具体可以参见下表：

报文1	基础特征1	基础特征2	基础特征3	基础特征4	回填特征1
报文2	基础特征1	基础特征2	基础特征3	基础特征4	回填特征2
报文3	基础特征1	基础特征2	基础特征3	基础特征4	回填特征3
报文4	基础特征1	基础特征2	基础特征3	基础特征4	回填特征4
报文5	基础特征1	基础特征2	基础特征3	基础特征4	回填特征5

S16，获取预先配置的第一名单及第二名单，并根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记，得到检测报告。

在本发明的至少一个实施例中，所述第一名单用于存储禁止访问所述目标定向网络的对象的特征，所述第二名单用于存储允许访问所述目标定向网络的对象的特征，所述根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记包括：

从所述目标窗格中读取每条报文的回填特征；

具体地，所述第一名单相当于预先配置的黑名单，所述第二名单相当于预先配置的白名单。

进一步地，根据匹配的情况，生成所述检测报告，具体形式可以参见下面的表格：

报文1	基础特征1	基础特征2	基础特征3	基础特征4	回填特征1	第一标记
报文2	基础特征1	基础特征2	基础特征3	基础特征4	回填特征2	第二标记
报文3	基础特征1	基础特征2	基础特征3	基础特征4	回填特征3	第三标记
报文4	基础特征1	基础特征2	基础特征3	基础特征4	回填特征4	第一标记
报文5	基础特征1	基础特征2	基础特征3	基础特征4	回填特征5	第二标记

通过上述实施方式，能够结合预先配置的名单对每个报文进行自动标记，进而自动生成检测报告。

S17，根据所述检测报告计算所述目标定向网络的连通性匹配度。

在本发明的至少一个实施例中，所述根据所述检测报告计算所述目标定向网络的连通性匹配度包括：

计算所述第一数量与所述第二数量的和，得到第三数量；

从所述检测报告中获取所有报文的总数量；

承接上面的例子，具有所述第二标记的报文的数量为2，具有所述第三标记的报文的数量为1，所有报文的总数量为5，则利用公式(2+1)/5计算所述目标定向网络的连通性匹配度，为60％。

通过上述实施方式，能够自动计算得到所述目标定向网络的连通性匹配度。

S18，输出所述检测报告及所述连通性匹配度。

在本实施例中，可以将所述检测报告及所述连通性匹配度传输至指定用户的终端设备。

例如：可以将所述检测报告及所述连通性匹配度传输至客户的终端设备，或者测试人员的终端设备。

在本实施例中，在输出所述检测报告及所述连通性匹配度后，所述方法还包括：

当所述连通性匹配度不等于1时，发出提示信息；

例如：所述提示信息可以为：“当前网络的连通性匹配度不为百分百，可能存在异常访问情况，请查询检测报告，以确定异常访问对象”。

可以理解的是，只要所述检测报告中存在黑名单中的对象访问所述目标定向网络，则说明有异常访问情况，此时，计算得到的所述连通性匹配度将不为1，此时，及时发出提示信息，以提醒相关人员处理异常。

而当所述连通性匹配度为1时，说明所述检测报告中不存在黑名单中的对象访问所述目标定向网络，也就不存在异常访问的情况，此时，可以无需查看所述检测报告，以节约时间。当然，所述检测报告仍然会被输出，以供用户需要时查阅。

由以上技术方案可以看出，本发明能够对采集的CAP包进行分割，得到每条报文，根据每条报文的基础特征生成数据窗格，采用TF-IDF算法，基于数据窗格确定每条报文的协议类型，根据每条报文的协议类型提取每条报文的回填特征对数据窗格进行回填，得到目标窗格，根据第一名单及第二名单对目标窗格中的每条报文进行标记，得到检测报告，根据检测报告计算目标定向网络的连通性匹配度，输出检测报告及连通性匹配度。利用本发明能够基于TF-IDF算法快速匹配报文相关协议类型，并结合配置的名单对报文进行标记，无需人工介入，即可快速准确的实现对定向网络的检测。

如图2所示，是本发明基于TF-IDF算法的定向网络检测装置的较佳实施例的功能模块图。所述基于TF-IDF算法的定向网络检测装置11包括采集单元110、分割单元111、生成单元112、确定单元113、提取单元114、回填单元115、标记单元116、计算单元117、输出单元118。本发明所称的模块/单元是指一种能够被处理器13所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储器12中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

采集单元110响应于对目标定向网络的检测指令，基于网元采集从所述目标定向网络上捕获到的CAP包。

分割单元111对所述CAP包进行分割，得到所述CAP包中携带的每条报文。

在本发明的至少一个实施例中，所述分割单元111对所述CAP包进行分割，得到所述CAP包中携带的每条报文包括：

获取起始标识符及结束标识符；

生成单元112提取每条报文的基础特征，并根据每条报文的基础特征生成数据窗格。

确定单元113采用TF-IDF(term frequency-inverse document frequency)算法，基于所述数据窗格确定每条报文的协议类型。

在本发明的至少一个实施例中，所述确定单元113采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型包括：

确定所述报文协议字典中每个协议类型的数量；

确定所述报文协议字典中每个基础特征的数量；

将所述契合度最高的协议类型确定为每条报文的协议类型。

提取单元114根据每条报文的协议类型提取每条报文的回填特征。

在本发明的至少一个实施例中，所述提取单元114根据每条报文的协议类型提取每条报文的回填特征包括：

回填单元115利用每条报文的回填特征对所述数据窗格进行回填，得到目标窗格。

标记单元116获取预先配置的第一名单及第二名单，并根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记，得到检测报告。

在本发明的至少一个实施例中，所述第一名单用于存储禁止访问所述目标定向网络的对象的特征，所述第二名单用于存储允许访问所述目标定向网络的对象的特征，所述标记单元116根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记包括：

从所述目标窗格中读取每条报文的回填特征；

具体地，所述第一名单相当于预先配置的黑名单，所述第二名单相当于预先配的白名单。

计算单元117根据所述检测报告计算所述目标定向网络的连通性匹配度。

在本发明的至少一个实施例中，所述计算单元117根据所述检测报告计算所述目标定向网络的连通性匹配度包括：

计算所述第一数量与所述第二数量的和，得到第三数量；

从所述检测报告中获取所有报文的总数量；

输出单元118输出所述检测报告及所述连通性匹配度。

在本实施例中，在输出所述检测报告及所述连通性匹配度后，当所述连通性匹配度不等于1时，发出提示信息；

如图3所示，是本发明实现基于TF-IDF算法的定向网络检测方法的较佳实施例的计算机设备的结构示意图。

所述计算机设备1可以包括存储器12、处理器13和总线，还可以包括存储在所述存储器12中并可在所述处理器13上运行的计算机程序，例如基于TF-IDF算法的定向网络检测程序。

本领域技术人员可以理解，所述示意图仅仅是计算机设备1的示例，并不构成对计算机设备1的限定，所述计算机设备1既可以是总线型结构，也可以是星形结构，所述计算机设备1还可以包括比图示更多或更少的其他硬件或者软件，或者不同的部件布置，例如所述计算机设备1还可以包括输入输出设备、网络接入设备等。

需要说明的是，所述计算机设备1仅为举例，其他现有的或今后可能出现的电子产品如果可以适应于本发明，也应包含在本发明的保护范围内，并以引用方式包含于此。

其中，存储器12至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器12在一些实施例中可以是计算机设备1的内部存储单元，例如该计算机设备1的移动硬盘。存储器12在另一些实施例中也可以是计算机设备1的外部存储设备，例如计算机设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(Secure Digital，SD)卡、闪存卡(Flash Card)等。进一步地，存储器12还可以既包括计算机设备1的内部存储单元也包括外部存储设备。存储器12不仅可以用于存储安装于计算机设备1的应用软件及各类数据，例如基于TF-IDF算法的定向网络检测程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

处理器13在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器13是所述计算机设备1的控制核心(Control Unit)，利用各种接口和线路连接整个计算机设备1的各个部件，通过运行或执行存储在所述存储器12内的程序或者模块(例如执行基于TF-IDF算法的定向网络检测程序等)，以及调用存储在所述存储器12内的数据，以执行计算机设备1的各种功能和处理数据。

所述处理器13执行所述计算机设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个基于TF-IDF算法的定向网络检测方法实施例中的步骤，例如图1所示的步骤。

示例性地，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器12中，并由所述处理器13执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段，该指令段用于描述所述计算机程序在所述计算机设备1中的执行过程。例如，所述计算机程序可以被分割成采集单元110、分割单元111、生成单元112、确定单元113、提取单元114、回填单元115、标记单元116、计算单元117、输出单元118。

上述以软件功能模块的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、计算机设备，或者网络设备等)或处理器(processor)执行本发明各个实施例所述基于TF-IDF算法的定向网络检测方法的部分。

所述计算机设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指示相关的硬件设备来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器等。

进一步地，计算机可读存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。

本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，在图3中仅用一根直线表示，但并不表示仅有一根总线或一种类型的总线。所述总线被设置为实现所述存储器12以及至少一个处理器13等之间的连接通信。

尽管未示出，所述计算机设备1还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器13逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述计算机设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等，在此不再赘述。

进一步地，所述计算机设备1还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该计算机设备1与其他计算机设备之间建立通信连接。

可选地，该计算机设备1还可以包括用户接口，用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在计算机设备1中处理的信息以及用于显示可视化的用户界面。

应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。

图3仅示出了具有组件12-13的计算机设备1，本领域技术人员可以理解的是，图3示出的结构并不构成对所述计算机设备1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

结合图1，所述计算机设备1中的所述存储器12存储多个指令以实现一种基于TF-IDF算法的定向网络检测方法，所述处理器13可执行所述多个指令从而实现：

对所述CAP包进行分割，得到所述CAP包中携带的每条报文；

根据每条报文的协议类型提取每条报文的回填特征；

根据所述检测报告计算所述目标定向网络的连通性匹配度；

输出所述检测报告及所述连通性匹配度。

具体地，所述处理器13对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

需要说明的是，本案中所涉及到的数据均为合法取得。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

本发明可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。本发明中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

Claims

一种基于TF-IDF算法的定向网络检测方法，其特征在于，所述基于TF-IDF算法的定向网络检测方法包括：

响应于对目标定向网络的检测指令，基于网元采集从所述目标定向网络上捕获到的CAP包；

对所述CAP包进行分割，得到所述CAP包中携带的每条报文；

提取每条报文的基础特征，并根据每条报文的基础特征生成数据窗格；

采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型；

根据每条报文的协议类型提取每条报文的回填特征；

利用每条报文的回填特征对所述数据窗格进行回填，得到目标窗格；

获取预先配置的第一名单及第二名单，并根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记，得到检测报告；

根据所述检测报告计算所述目标定向网络的连通性匹配度；

输出所述检测报告及所述连通性匹配度。
如权利要求1所述的基于TF-IDF算法的定向网络检测方法，其特征在于，所述对所述CAP包进行分割，得到所述CAP包中携带的每条报文包括：

获取起始标识符及结束标识符；

将所述起始标识符及所述结束标识符确定为分割点对所述CAP包进行分割；

对于分割后得到的每段数据，将所述起始标识符确定为报文起点，将所述结束标识符确定为报文终点，得到所述CAP包中携带的每条报文。
如权利要求1所述的基于TF-IDF算法的定向网络检测方法，其特征在于，所述采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型包括：

从所述数据窗格中读取每条报文中每个基础特征的出现次数，及每条报文中所有基础特征出现的总次数；

计算每个基础特征的出现次数与所述总次数的商，得到每条报文中每个基础特征的出现频率；

获取预先配置的报文协议字典，其中，所述报文协议字典用于存储协议类型与特征的映射关系；

确定所述报文协议字典中每个协议类型的数量；

确定所述报文协议字典中每个基础特征的数量；

计算每个基础特征的数量与预设值的和，得到每个基础特征的基础值；

计算每个协议类型的数量与每个基础特征的基础值的商的对数值，得到每个基础特征相对于每个协议类型的逆频率；

计算每个基础特征的出现频率与每个基础特征相对于每个协议类型的频率的乘积，得到每个基础特征相对于每个协议类型的权重；

计算每条报文中的所有基础特征相对于每个协议类型的权重的总和，得到每条报文相对于每个协议类型的契合度；

将所述契合度最高的协议类型确定为每条报文的协议类型。
如权利要求1所述的基于TF-IDF算法的定向网络检测方法，其特征在于，所述根据每条报文的协议类型提取每条报文的回填特征包括：

根据每条报文的协议类型确定每条报文的回填特征所属的字段；

根据每条报文的回填特征所属的字段从每条报文中提取每条报文的回填特征。
如权利要求1所述的基于TF-IDF算法的定向网络检测方法，其特征在于，所述第一名单用于存储禁止访问所述目标定向网络的对象的特征，所述第二名单用于存储允许访问所述目标定向网络的对象的特征，所述根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记包括：

从所述目标窗格中读取每条报文的回填特征；

利用每条报文的回填特征与所述第一名单中对象的特征进行匹配，并对匹配到的报文进行第一标记；

利用每条报文的回填特征与所述第二名单中对象的特征进行匹配，并对匹配到的报文进行第二标记；

对未与所述第一名单匹配成功，且未与所述第二名单匹配成功的报文进行第三标记。
如权利要求5所述的基于TF-IDF算法的定向网络检测方法，其特征在于，所述根据所述检测报告计算所述目标定向网络的连通性匹配度包括：

从所述检测报告中获取具有所述第二标记的报文的数量作为第一数量；

从所述检测报告中获取具有所述第三标记的报文的数量作为第二数量；

计算所述第一数量与所述第二数量的和，得到第三数量；

从所述检测报告中获取所有报文的总数量；

计算所述第三数量与所述总数量的商，得到所述目标定向网络的连通性匹配度。
如权利要求1所述的基于TF-IDF算法的定向网络检测方法，其特征在于，在输出所述检测报告及所述连通性匹配度后，所述方法还包括：

当所述连通性匹配度不等于1时，发出提示信息；

其中，所述提示信息用于提示所述目标定向网络存在异常访问情况，并提示查看所述检测报告。
一种基于TF-IDF算法的定向网络检测装置，其特征在于，所述基于TF-IDF算法的定向网络检测装置包括：

采集单元，用于响应于对目标定向网络的检测指令，基于网元采集从所述目标定向网络上捕获到的CAP包；

分割单元，用于对所述CAP包进行分割，得到所述CAP包中携带的每条报文；

生成单元，用于提取每条报文的基础特征，并根据每条报文的基础特征生成数据窗格；

确定单元，用于采用TF-IDF算法，基于所述数据窗格确定每条报文的协议类型；

提取单元，用于根据每条报文的协议类型提取每条报文的回填特征；

回填单元，用于利用每条报文的回填特征对所述数据窗格进行回填，得到目标窗格；

标记单元，用于获取预先配置的第一名单及第二名单，并根据所述第一名单及所述第二名单对所述目标窗格中的每条报文进行标记，得到检测报告；

计算单元，用于根据所述检测报告计算所述目标定向网络的连通性匹配度；

输出单元，用于输出所述检测报告及所述连通性匹配度。
一种计算机设备，其特征在于，所述计算机设备包括：

存储器，存储至少一个指令；及

处理器，执行所述存储器中存储的指令以实现如权利要求1至7中任意一项所述的基于TF-IDF算法的定向网络检测方法。
一种计算机可读存储介质，其特征在于：所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被计算机设备中的处理器执行以实现如权利要求1至7中任意一项所述的基于TF-IDF算法的定向网络检测方法。