CN114338187B - 基于决策树的终端安全检测方法及装置 - Google Patents
基于决策树的终端安全检测方法及装置 Download PDFInfo
- Publication number
- CN114338187B CN114338187B CN202111653440.3A CN202111653440A CN114338187B CN 114338187 B CN114338187 B CN 114338187B CN 202111653440 A CN202111653440 A CN 202111653440A CN 114338187 B CN114338187 B CN 114338187B
- Authority
- CN
- China
- Prior art keywords
- data
- decision tree
- terminal
- equipment
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 83
- 238000003066 decision tree Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000012549 training Methods 0.000 claims abstract description 27
- 238000007781 pre-processing Methods 0.000 claims abstract description 25
- 238000011156 evaluation Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及网络安全技术领域,具体涉及基于决策树的终端安全检测方法及装置、存储介质以及终端设备。所述方法包括:采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据;对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集;基于所述样本数据集训练基于决策树的终端安全检测模型;采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据;将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。本公开的方法解决了常见设备安全检测技术方案中误报率高、漏报率高、查找不精准、需要实体设备的问题。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及一种基于决策树的终端安全检测方法、一种基于决策树的终端安全检测装置、一种存储介质以及一种终端设备。
背景技术
随着互联网技术的快速发展,用户终端设备可以实现更过的功能,承载更丰富应用程序。然而,由于智能终端碎片化程度严重,服务开放并不统一,应用于不同智能终端之间的服务和服务配置差异性较大,不能完全统一标准。服务代码进行过裁剪,CVE(CommonVulnerabilities and Exposures,通用漏洞披露)匹配结果误报率过高,因此针对智能终端特征,进行安全性检测和安全预警是有必要的。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种基于决策树的终端安全检测方法、一种基于决策树的终端安全检测装置、一种存储介质以及一种终端设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的缺陷。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种基于决策树的终端安全检测方法,所述方法包括:
采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据;
对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集;
基于所述样本数据集训练基于决策树的终端安全检测模型;
采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据;
将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
在本公开的一种示例性实施例中,所述设备数据包括设备基本信息、设备类型、设备固件信息、设备软件信息、设备端口信息、设备服务信息中的任意一项或任意多项的组合。
在本公开的一种示例性实施例中,所述受攻击数据包括攻击类型;
所述攻击类型包括:网络攻击、应用攻击、通信攻击。
在本公开的一种示例性实施例中,对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集,包括:
对各终端设备的所述设备数据、受攻击数据进行标记和转换,以获取各样本的特征以及各项特征对应的特征值;以及
根据样本的特征对所述样本进行分类,以获取多个样本集合。
在本公开的一种示例性实施例中,基于所述样本数据集训练基于决策树的终端安全检测模型,包括:
对各样本集合中的样本的特征计算信息熵及信息增益率;
根据信息增益率计算结果确定决策数的节点;
以递归方式对各样本集合进行计算,直至生成决策树。
在本公开的一种示例性实施例中,所述方法还包括:
按预设比例随机抽取样本数据构建训练集、测试集,以利用所述训练集训练决策树,并利用所述测试集对所述决策树进行精确度判断。
在本公开的一种示例性实施例中,所述方法还包括:
按预设比例在所述训练集中配置正常样本和异常样本。
根据本公开的第二方面,提供一种基于决策树的终端安全检测装置,所述装置包括:
数据采集模块,用于采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据;
数据预处理模块,用于对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集;
模型构建模块,基于所述样本数据集训练基于决策树的终端安全检测模型;
待测数据预处理模块,用于采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据;
评估模块,用于将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
根据本公开的第三方面,提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的基于决策树的终端安全检测方法。
根据本公开的第四方面,提供一种终端设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述的基于决策树的终端安全检测方法。
本公开的一种实施例所提供的基于决策树的终端安全检测方法中,通过抽象终端设备特征并训练基于决策树的终端安全检测模型,通过终端安全检测模型对待测终端进行安全间,判断设备风险问题。解决了常见设备安全检测技术方案中误报率高、漏报率高、查找不精准、需要实体设备的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开示例性实施例中一种基于决策树的终端安全检测方法的示意图;
图2示意性示出本公开示例性实施例中一种基于决策树的终端安全检测装置的示意图;
图3示意性示出本公开示例性实施例中一种终端设备的组成示意图;
图4示意性示出本公开示例性实施例中一种存储介质的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
在相关技术中,一般按照终端设备的类型、厂商、固件组件,使用已收集的poc尝试攻击,实现对终端设备的检测。但是,这样的检测方式识别效率较低,所需时间较长,需要实体设备才能进行检测;在没有实体设备时,则无法进行判断。
针对上述的现有技术的缺点和不足,本示例实施方式中提供了一种基于决策树的终端安全检测方法。参考图1中所示,上述的基于决策树的终端安全检测方法可以包括以下步骤:
步骤S11,采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据;
步骤S12,对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集;
步骤S13,基于所述样本数据集训练基于决策树的终端安全检测模型;
步骤S14,采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据;
步骤S15,将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
本示例实施方式所提供的基于决策树的终端安全检测方法中,通过抽象终端设备特征并训练基于决策树的终端安全检测模型,通过终端安全检测模型对待测终端进行安全间,判断设备风险问题。解决了常见设备安全检测技术方案中误报率高、漏报率高、查找不精准、需要实体设备的问题。
下面,将结合附图及实施例对本示例实施方式中的基于决策树的终端安全检测方法的各个步骤进行更详细的说明。
在步骤S11中,采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据。
本示例实施方式中,上述的方法可以由服务器执行;或者,也可以由服务器和用户终端协作执行来实现。例如,用户可以在终端设备上向服务器端发送终端检测请求,该终端检测请求中可以包括终端设备的相关数据。服务器端在接收到终端检测请求后,便可以创建终端检测任务。服务器端执行该终端检测任务,利用已训练的基于决策树的终端安全检测模型进行检测。或者,在一些示例性实施方式中,也可以是由具备一定计算能力的终端设备执行上述的基于决策树的终端安全检测方法。例如,可以在服务器端对终端安全检测模型进行训练,在完成模型训练后,可以将模型部署在终端设备上,使终端设备可以根据需求实时的进行安全检测。
在服务器端,在训练决策树时,用户可以在用户终端向服务器发送模型训练请求。该模型训练请求中可以包含目标类型终端设备的设备数据,以及对应的受攻击数据。具体的,上述的终端设备可以是用户侧的手机、平板电脑等智能终端设备。目标类型的终端设备可以是受到攻击的终端设备。或者,可以是通过安全测试数据中采集的目标类型的终端设备的设备数据。具体的,述设备数据包括设备基本信息、设备类型、设备固件信息、设备软件信息、设备端口信息、设备服务信息中的任意一项或任意多项的组合。受攻击数据包括攻击类型;所述攻击类型包括:网络攻击、应用攻击、通信攻击。或者,攻击类型也可以是指定网络端口的攻击。举例来说,上述的各项设备数据可以通过对终端设备的固件相关参数可以通过静态检测、动态检测得到。
在步骤S12中,对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集。
本示例实施方式中,具体而言,可以对各终端设备的所述设备数据、受攻击数据进行标记和转换,以获取各样本的特征以及各项特征对应的特征值;以及根据样本的特征对所述样本进行分类,以获取多个样本集合。
举例来说,被选中的每一个目标类型的终端设备可以作为一个样本,目标类型终端设备的设备数据、受攻击数据可以作为终端设备的属性数据,即各类型的特征。对于各类型的设备数据,以及受攻击数据,可以预先为各类型的数据配置对应的编码,即特征值。上述的预处理可以是将各终端设备的各类设备数据、受攻击数据转换为对应的特征值,从而可以得到各受攻击终端的多个特征值构建特征编码向量。
举例来说,智能终端相关信息,可以是例如:厂商、芯片型号、操作系统、设备版本、设备类型等;设备固件包解包,识别固件组件服务版本、主要函数,配置文件等;通过配置文件属性和开放服务抽象服务开放特征,如:检测到ssh服务,但在配置文件中配置了端口转发,则判定特征为可检测到tcp服务,不可连接。
此外,可以将采集的所有样本按照特征进行分类,将类似的样本划分到同一个集合中,保证集合中全部都有足够的样本量。
在一些示例性实施方式中,所述方法还包括:按预设比例随机抽取样本数据构建训练集、测试集,以利用所述训练集训练决策树,并利用所述测试集对所述决策树进行精确度判断。
在一些示例性实施方式中,所述方法还包括:按预设比例在所述训练集中配置正常样本和异常样本。
在步骤S13中,基于所述样本数据集训练基于决策树的终端安全检测模型。
本示例实施方式中,具体而言,可以对各样本集合中的样本的特征计算信息熵及信息增益率;根据信息增益率计算结果确定决策数的节点;以递归方式对各样本集合进行计算,直至生成决策树。
举例而言,可以将采集的所有样本按照特征进行分类,将类似的样本划分到同一个集合中,保证集合中全部都有足够的样本量。对每一个集合中的所有样本特征值进行提取,观察样本数据的相似程度,对相似程度较高的样本进行特征值融合,优化成一个新的样本数据,同时优化所有集合中的样本容量。利用递归找到集合中次大的决定性特征,直至子数据集中所有数据都属于同一类,从训练数据中众多的特征中选择一个特征作为当前节点的分裂标准,则可以计算决策树结点的条件增益率。通过将待测设备特征数据导入决策树算法中,对待测设备进行判断,然后与人工判断结果进行比较,对比决策树算法对设备判断的准确率,及时对决策树算法进行调整。
或者,在一些示例性实施方式中,构建决策树的步骤还可以包括:计算样本集合的信息熵,即受攻击终端设备的信息熵。计算所有属性的信息熵,即计算各类型设备数据、攻击类型数据的信息熵;假设按照属性A划分D中元组,且属性A将D划分成v个不同的子集,计算得到属性A的信息熵。计算属性A的信息增益率。、按照前三步计算所有属性的信息增益率,把信息增益率最大的属性作为分支节点,节点的每个可能取值对应一个子集,对样本子集递归地执行第二、第三个步骤,直至生成决策树。
或者,在一些示例性实施方式中,也可以参考现有技术来构建决策树。
在步骤S14中,采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据。
本示例实施方式中,对于待测终端设备,可以采集对应的基本信息,如终端厂商、设备类型等,固件基本信息,如芯片型号、操作系统版本等,及终端服务信息,如服务开放端口、服务状态等数据,作为待测终端的特征数据。
在步骤S15中,将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
本示例实施方式中,可以将待测终端的特征数据作为输入数据,输入已训练的基于决策树的终端安全检测模型中,从而可以输入对应的安全检测评估结果。检测结果中可以包括待测终端可能受到的攻击类型。
本示例实施方式中,所述方法还包括:按预设比例随机抽取样本数据构建训练集、测试集,以利用所述训练集训练决策树,并利用所述测试集对所述决策树进行精确度判断。
本示例实施方式中,所述方法还包括:按预设比例在所述训练集中配置正常样本和异常样本。
本公开提供的基于决策树的终端安全检测方法,通过收集待测终端属性信息,及解压智能终端固件包和服务配置文件,抽象出智能终端特征,通过决策树判断智能终端安全性,检测设备安全风险。通过决策树和抽象设备特征的方式,训练风险决策树,判断设备风险问题,解决了常见设备安全检测技术方案中误报率高、漏报率高、查找不精准、需要实体设备的问题。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
进一步的,参考图2所示,本示例的实施方式中还提供了一种基于决策树的终端安全检测装置20,包括:数据采集模块201、数据预处理模块202、模型构建模块203、待测数据预处理模块204、评估模块205。其中,
所述数据采集模块201可以用于采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据。
所述数据预处理模块202可以用于对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集。
所述模型构建模块203可以基于所述样本数据集训练基于决策树的终端安全检测模型。
所述待测数据预处理模块204可以用于采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据。
所述评估模块205可以用于将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
上述的基于决策树的终端安全检测装置中各模块的具体细节已经在对应的基于决策树的终端安全检测方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的计算机系统。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图3来描述根据本发明的这种实施方式的终端设备300。图3显示的终端设备300仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图3所示,终端设备300以通用计算设备的形式表现。计算机系统600的组件可以包括但不限于:上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
计算机系统600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该计算机系统600交互的设备通信,和/或与使得该计算机系统600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。还可以通过输入/输出(I/O)接口连接显示单元640。并且,计算机系统600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器660通过总线630与计算机系统600的其它模块通信。应当明白,尽管图中未示出,可以结合计算机系统600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图4所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品100,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。
Claims (9)
1.一种基于决策树的终端安全检测方法,其特征在于,所述方法包括:
采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据;
对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集;
对各样本集合中的样本的特征计算信息熵及信息增益率,根据信息增益率计算结果确定决策树的节点,以递归方式对各样本集合进行计算,直至生成决策树,以得到基于决策树的终端安全检测模型;
采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据;
将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
2.根据权利要求1所述的基于决策树的终端安全检测方法,其特征在于,所述设备数据包括设备基本信息、设备类型、设备固件信息、设备软件信息、设备端口信息、设备服务信息中的任意一项或任意多项的组合。
3.根据权利要求1所述的基于决策树的终端安全检测方法,其特征在于,所述受攻击数据包括攻击类型;
所述攻击类型包括:网络攻击、应用攻击、通信攻击。
4.根据权利要求1所述的基于决策树的终端安全检测方法,其特征在于,对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集,包括:
对各终端设备的所述设备数据、受攻击数据进行标记和转换,以获取各样本的特征以及各项特征对应的特征值;以及
根据样本的特征对所述样本进行分类,以获取多个样本集合。
5.根据权利要求1或4所述的基于决策树的终端安全检测方法,其特征在于,所述方法还包括:
按预设比例随机抽取样本数据构建训练集、测试集,以利用所述训练集训练决策树,并利用所述测试集对所述决策树进行精确度判断。
6.根据权利要求5所述的基于决策树的终端安全检测方法,其特征在于,所述方法还包括:
按预设比例在所述训练集中配置正常样本和异常样本。
7.一种基于决策树的终端安全检测装置,其特征在于,所述装置包括:
数据采集模块,用于采集目标类型终端设备的设备数据,以及各终端设备对应的受攻击数据,以获取样本数据;
数据预处理模块,用于对所述设备数据、受攻击数据进行预处理,以根据预处理后的数据构建样本数据集;
模型构建模块,用于对各样本集合中的样本的特征计算信息熵及信息增益率,根据信息增益率计算结果确定决策树的节点,以递归方式对各样本集合进行计算,直至生成决策树,以得到基于决策树的终端安全检测模型;
待测数据预处理模块,用于采集待测终端的设备数据,并对所述设备数据进行预处理,以获取待测特征数据;
评估模块,用于将所述待测特征数据输入所述基于决策树的终端安全检测模型,以获取安全检测评估结果。
8.一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1至6中任一项所述的基于决策树的终端安全检测方法。
9.一种终端设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至6中任一项所述的基于决策树的终端安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111653440.3A CN114338187B (zh) | 2021-12-30 | 2021-12-30 | 基于决策树的终端安全检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111653440.3A CN114338187B (zh) | 2021-12-30 | 2021-12-30 | 基于决策树的终端安全检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338187A CN114338187A (zh) | 2022-04-12 |
| CN114338187B true CN114338187B (zh) | 2024-02-02 |
Family
ID=81019104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111653440.3A Active CN114338187B (zh) | 2021-12-30 | 2021-12-30 | 基于决策树的终端安全检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338187B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115396158A (zh) * | 2022-08-01 | 2022-11-25 | 北方实验室(沈阳)股份有限公司 | 一种基于二元决策图的等级保护测评原始记录生成系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830499A (zh) * | 2019-11-21 | 2020-02-21 | 中国联合网络通信集团有限公司 | 一种网络攻击应用检测方法和系统 |
| CN112738015A (zh) * | 2020-10-28 | 2021-04-30 | 北京工业大学 | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 |
| CN112910859A (zh) * | 2021-01-19 | 2021-06-04 | 山西警察学院 | 基于c5.0决策树和时序分析的物联网设备监测预警方法 |
| CN113468539A (zh) * | 2021-06-15 | 2021-10-01 | 江苏大学 | 一种基于漏洞攻击数据库及决策树的攻击程序识别方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210273969A1 (en) * | 2019-06-11 | 2021-09-02 | Cyber Reconnaissance, Inc. | Systems and methods for identifying hacker communications related to vulnerabilities |
-
2021
- 2021-12-30 CN CN202111653440.3A patent/CN114338187B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830499A (zh) * | 2019-11-21 | 2020-02-21 | 中国联合网络通信集团有限公司 | 一种网络攻击应用检测方法和系统 |
| CN112738015A (zh) * | 2020-10-28 | 2021-04-30 | 北京工业大学 | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 |
| CN112910859A (zh) * | 2021-01-19 | 2021-06-04 | 山西警察学院 | 基于c5.0决策树和时序分析的物联网设备监测预警方法 |
| CN113468539A (zh) * | 2021-06-15 | 2021-10-01 | 江苏大学 | 一种基于漏洞攻击数据库及决策树的攻击程序识别方法 |
Non-Patent Citations (2)
| Title |
|---|
| 刘江林等.基于决策树算法的移动终端数据安全检测技术研究.现代电子技术.2017,第40卷(第5期),全文. * |
| 基于决策树算法的移动终端数据安全检测技术研究;刘江林等;现代电子技术;第40卷(第5期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338187A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112541022A (zh) | 异常对象检测方法、装置、存储介质及电子设备 | |
| CN114422267B (zh) | 流量检测方法、装置、设备及介质 | |
| CN111339531B (zh) | 恶意代码的检测方法、装置、存储介质及电子设备 | |
| CN115146282A (zh) | 基于ast的源代码异常检测方法及其装置 | |
| CN114338187B (zh) | 基于决策树的终端安全检测方法及装置 | |
| CN117240632A (zh) | 一种基于知识图谱的攻击检测方法和系统 | |
| CN114491513B (zh) | 基于知识图谱的区块链智能合约重入攻击检测系统与方法 | |
| CN113886821A (zh) | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 | |
| CN113419971A (zh) | 安卓系统服务漏洞检测方法及相关装置 | |
| CN113722711A (zh) | 基于大数据安全漏洞挖掘的数据添加方法及人工智能系统 | |
| CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN112988441A (zh) | 异常处理方法和装置 | |
| CN115412358B (zh) | 网络安全风险评估方法、装置、电子设备及存储介质 | |
| CN113312619B (zh) | 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质 | |
| CN115809267A (zh) | 一种用于生成审计结果的方法、设备、介质及程序产品 | |
| CN116821903A (zh) | 检测规则确定及恶意二进制文件检测方法、设备及介质 | |
| CN115643094A (zh) | 一种威胁情报融合方法、装置、电子设备及存储介质 | |
| CN114638308A (zh) | 一种获取对象关系的方法、装置、电子设备和存储介质 | |
| CN110532304B (zh) | 数据处理方法及装置、计算机可读存储介质以及电子设备 | |
| CN114329454A (zh) | 一种基于应用软件大数据的威胁分析方法及系统 | |
| CN116910756B (zh) | 一种恶意pe文件的检测方法 | |
| CN117473511B (zh) | 边缘节点漏洞数据处理方法、装置、设备及存储介质 | |
| CN115454855B (zh) | 代码缺陷报告审计方法、装置、电子设备及存储介质 | |
| CN109977221B (zh) | 基于大数据的用户验证方法及装置、存储介质、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |