(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111615931.9 (22)申请日 2021.12.28 (65)同一申请的已公布的文献号 申请公布号 CN 113987482 A (43)申请公布日 2022.01.28 (73)专利权人 中孚信息股份有限公司 地址 250101 山东省济南市高新区经十路 7000号汉峪金谷A1- 5号楼25层 (72)发明人 苗功勋　刘洋洋　娄爱涛　路冰　 邹斯达　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 专利代理师 徐胭脂 (51)Int.Cl. G06F 21/55(2013.01)G06N 20/00(2019.01) H04L 9/40(2022.01) H04L 61/2503(2022.01) (56)对比文件 CN 108446546 A,2018.08.24 CN 108446546 A,2018.08.24 CN 112565164 A,2021.0 3.26 CN 111641658 A,2020.09.08 US 2011004509 A1,201 1.01.06 CN 107291911 A,2017.10.24 US 2016164912 A1,2016.0 6.09 王多鱼.FM算法解析. 《百度》 .2018, 于延等.基 于改进的Apri ori算法的入侵 检 测系统研究. 《计算机 工程与科 学》 .2010,(第09 期), 审查员 岳孟果 (54)发明名称 一种基于 FM的IP首次访问检测方法、 系统及 设备 (57)摘要 本申请公开了一种基于FM的IP首次访问检 测方法、 系统及设备， 主要涉及访问检测技术领 域， 用以解决现有的检测首次访问方法误报率较 高的技术问题。 方法包括： 根据若干历史流量访 问日志中的源IP、 目的IP， 确定源IP与目的IP之 间的访问频次； 获得训练好的预设FM算法； 根据 训练好的预设FM算法以及预设网格搜索算法， 获 得源IP与目的IP之间的参数列表； 其中， 列表中 包括源IP与目的IP之间访问概率； 获取源IP的实 际访问目的IP， 当实际访问目的IP在参数列表中 对应的首次访问概率小于预设访问概率时， 认定 源IP存在首次访问行为。 本申请通过上述方法降 低了首次检测的误报率。 权利要求书2页 说明书5页 附图2页 CN 113987482 B 2022.05.06 CN 113987482 B 1.一种基于FM的IP首次访问检测方法， 其特 征在于， 所述方法包括： 根据若干历史流量访问日志中的源IP、 目的IP， 确定所述源IP与所述目的IP之间的访 问频次； 基于预设IP ‑Int数据库， 将源IP以及目的IP的格式类型转换为 Int类型； 通过预设离散化转换算法， 获取离 散化处理后的访问频次； 将数据预处理后的源IP、 目的IP以及所述访问频次带入预设FM算法公式进行训练， 以 获得训练好的预设FM算法； 根据训练好的预设FM算法以及预设网格搜索算法， 获得源IP与目的IP之间的参数列 表； 其中， 所述列表中包括源IP与目的IP之间访问概 率； 其中， 根据训练好的预设FM算法以及预设网格搜索算法， 获得源IP与目的IP之间的参 数列表， 具体包括： 通过训练好的预设FM算法， 获得源IP与目的IP之间的访问概率； 通过预 设网格搜索算法， 将源IP、 目的IP以及 访问概率之间的关系列表化， 以获得 所述参数列表； 获取源IP的实际访问目的IP， 当所述实际访问目的IP在所述参数列表中对应的所述首 次访问概 率小于预设访问概 率时， 认定源IP存在首次访问行为。 2.根据权利要求1所述的基于FM的IP首次访问检测方法， 其特征在于， 根据若干历史流 量访问日志中的源IP、 目的IP， 确定源IP与目的IP之间的访问频次， 具体包括： 获取所述历史流 量访问日志中的源IP与目的IP； 在预设的固定检测时间窗口内， 统计所述源IP访问所述目的IP的访问频次。 3.根据权利 要求1所述的基于FM的IP首次访问检测方法， 其特征在于， 所述预设FM算法 公式具体如下： ； ； 其中， x为源IP， f为访问频次， ω为目的IP， y为访问概率， < , >为交叉项， 为预设第 一隐藏向量， 为预设第二隐藏向量， n 为目的IP的数量。 4.根据权利要求1所述的基于FM的IP首次访问检测方法， 其特征在于， 将数据 预处理后 的所述源IP、 所述目的IP以及所述访问频次带入预设FM算法公式进行训练， 以获得训练好 的预设FM算法， 具体包括： 将数据预处理后的所述源IP、 所述目的IP以及所述访问频 次带入预设FM算法公式进行 训练， 以通过 预设FM算法公式获取若干交叉项； 将所述若干交叉项导入获取随机样本算法中， 以获得合格交叉项； 确定所述 合格交叉项为预设FM算法公式的最终交叉项， 以获得训练好的预设FM算法。 5.一种基于FM的IP首次访问检测系统， 其特 征在于， 所述系统包括： 确定模块， 用于根据若干历史流量访问日志中的源IP、 目的IP， 确定所述源IP与所述目 的IP之间的访问频次； 获取模块， 用 于基于预设IP ‑Int数据库， 将源IP以及目的IP的格式类型转换为Int类 型； 通过预设离散化转换算法， 获取离 散化处理后的访问频次； 获得模块， 用于将数据预处理后的源IP、 目的IP以及所述访问频次带入预设FM算法公 式进行训练， 以获得训练好的预设FM算法； 还用于根据训练好的预设FM算法以及预设网格权　利　要　求　书 1/2 页 2 CN 113987482 B 2搜索算法， 获得源IP与目的IP之间的参数列表； 且所述列表中包括源IP与目的IP之间访问 概率； 其中， 根据训练好的预设FM算法以及预设网格搜索算法， 获得源IP与目的IP之间的参 数列表， 具体为： 通过训练好的预设FM算法， 获得源IP与目的IP之间的访问概率； 通过预设 网格搜索算法， 将源IP、 目的IP以及 访问概率之间的关系列表化， 以获得 所述参数列表； 认定模块， 用于获取源IP的实际访问目的IP， 当所述实际访问目的IP在所述参数列表 中对应的所述首次访问概 率小于预设访问概 率时， 认定源IP存在首次访问行为。 6.一种基于FM的IP首次访问检测设备， 其特 征在于， 所述设备包括： 处理器； 以及存储器， 其上存储有可执行代码， 当所述可执行代码被执行时， 使得所述处理器执 行如权利要求1 ‑4任一项所述的一种基于FM的IP首次访问检测方法。权　利　要　求　书 2/2 页 3 CN 113987482 B 3