专利基于决策树的终端安全检测方法及装置

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111653440.3 (22)申请日 2021.12.3 0 (71)申请人中国电信股份有限公司地址 100033 北京市西城区金融大街31号 (72)发明人陈佳宁　周文君　 (74)专利代理机构北京律智知识产权代理有限公司 11438 代理人王辉　阚梓瑄 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) G06N 5/00(2006.01) (54)发明名称基于决策树的终端安全检测方法及装置 (57)摘要本公开涉及网络安全技术领域，具体涉及基于决策树的终端安全检测方法及装置、存储介质以及终端设备。所述方法包括：采集目标类型终端设备的设备数据，以及各终端设备对应的受攻击数据，以获取样本数据；对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集；基于所述样本数据集训练基于决策树的终端安全检测模型；采集待测终端的设备数据，并对所述设备数据进行预处理，以获取待测特征数据；将所述待测特征数据输入所述基于决策树的终端安全检测模型，以获取安全检测评估结果。本公开的方法解决了常见设备安全检测技术方案中误报率高、漏报率高、查找不精准、需要实体设备的问题。权利要求书2页说明书8页附图2页 CN 114338187 A 2022.04.12 CN 114338187 A 1.一种基于决策树的终端安全检测方法，其特征在于，所述方法包括：采集目标类型终端设备的设备数据，以及各终端设备对应的受攻击数据，以获取样本数据；对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集；基于所述样本数据集训练基于决策树的终端安全检测模型；采集待测终端的设备数据，并对所述设备数据进行预处理，以获取待测特征数据；将所述待测特征数据输入所述基于决策树的终端安全检测模型，以获取安全检测评估结果。 2.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，所述设备数据包括设备基本信息、设备类型、设备固件信息、设备软件信息、设备端口信息、设备服务信息中的任意一项或任意多项的组合。 3.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，所述受攻击数据包括攻击类型；所述攻击类型包括：网络攻击、应用攻击、通信攻击。 4.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集，包括：对各终端设备的所述设备数据、受攻击数据进行标记和转换，以获取各样本的特征以及各项特征对应的特征值；以及根据样本的特征对所述样本进行分类，以获取多个样本集合。 5.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，基于所述样本数据集训练基于决策树的终端安全检测模型，包括：对各样本集合中的样本的特征计算信息熵及信息增益率；根据信息增益率计算结果确定决策数的节点；以递归方式对各样本集合进行计算，直至生成决策树。 6.根据权利要求1或5所述的基于决策树的终端安全检测方法，其特征在于，所述方法还包括：按预设比例随机抽取样本数据构建训练集、测试集，以利用所述训练集训练决策树，并利用所述测试集对所述决策树进行精确度判断。 7.根据权利要求6所述的基于决策树的终端安全检测方法，其特征在于，所述方法还包括：按预设比例在所述训练集中配置正常样本和异常样本。 8.一种基于决策树的终端安全检测装置，其特征在于，所述装置包括：数据采集模块，用于采集目标类型终端设备的设备数据，以及各终端设备对应的受攻击数据，以获取样本数据；数据预处理模块，用于对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集；模型构建模块，基于所述样本数据集训练基于决策树的终端安全检测模型；待测数据预处理模块，用于采集待测终端的设备数据，并对所述设备数据进行预处理，以获取待测特征数据；权　利　要　求　书 1/2 页 2 CN 114338187 A 2评估模块，用于将所述待测特征数据输入所述基于决策树的终端安全检测模型，以获取安全检测评估结果。 9.一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现根据权利要求1至7中任一项所述的基于决策树的终端安全检测方法。 10.一种终端设备，其特征在于，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任一项所述的基于决策树的终端安全检测方法。权　利　要　求　书 2/2 页 3 CN 114338187 A 3

专利 基于决策树的终端安全检测方法及装置

专利基于决策树的终端安全检测方法及装置