[发明专利]基于决策树的终端安全检测方法及装置

权利要求书

1.一种基于决策树的终端安全检测方法，其特征在于，所述方法包括：

采集目标类型终端设备的设备数据，以及各终端设备对应的受攻击数据，以获取样本数据；

对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集；

基于所述样本数据集训练基于决策树的终端安全检测模型；

采集待测终端的设备数据，并对所述设备数据进行预处理，以获取待测特征数据；

将所述待测特征数据输入所述基于决策树的终端安全检测模型，以获取安全检测评估结果。

2.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，所述设备数据包括设备基本信息、设备类型、设备固件信息、设备软件信息、设备端口信息、设备服务信息中的任意一项或任意多项的组合。

3.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，所述受攻击数据包括攻击类型；

所述攻击类型包括：网络攻击、应用攻击、通信攻击。

4.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集，包括：

对各终端设备的所述设备数据、受攻击数据进行标记和转换，以获取各样本的特征以及各项特征对应的特征值；以及

根据样本的特征对所述样本进行分类，以获取多个样本集合。

5.根据权利要求1所述的基于决策树的终端安全检测方法，其特征在于，基于所述样本数据集训练基于决策树的终端安全检测模型，包括：

对各样本集合中的样本的特征计算信息熵及信息增益率；

根据信息增益率计算结果确定决策数的节点；

以递归方式对各样本集合进行计算，直至生成决策树。

6.根据权利要求1或5所述的基于决策树的终端安全检测方法，其特征在于，所述方法还包括：

按预设比例随机抽取样本数据构建训练集、测试集，以利用所述训练集训练决策树，并利用所述测试集对所述决策树进行精确度判断。

7.根据权利要求6所述的基于决策树的终端安全检测方法，其特征在于，所述方法还包括：

按预设比例在所述训练集中配置正常样本和异常样本。

8.一种基于决策树的终端安全检测装置，其特征在于，所述装置包括：

数据采集模块，用于采集目标类型终端设备的设备数据，以及各终端设备对应的受攻击数据，以获取样本数据；

数据预处理模块，用于对所述设备数据、受攻击数据进行预处理，以根据预处理后的数据构建样本数据集；

模型构建模块，基于所述样本数据集训练基于决策树的终端安全检测模型；

待测数据预处理模块，用于采集待测终端的设备数据，并对所述设备数据进行预处理，以获取待测特征数据；

评估模块，用于将所述待测特征数据输入所述基于决策树的终端安全检测模型，以获取安全检测评估结果。

9.一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现根据权利要求1至7中任一项所述的基于决策树的终端安全检测方法。

10.一种终端设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任一项所述的基于决策树的终端安全检测方法。