[发明专利]一种安全审计中的决策树生成方法

摘要

本发明提供了一种安全审计中的决策树生成方法。该方法主要是对网络终端通信数据进行分类，根据网络数据属性值的特点来建立决策树，实现了对网络攻击行为的记录与取证，最终提取攻击行为的特征。该发明有效地防止了恶意攻击地发生，同时可以用来预测网络中潜在的安全问题。本发明涉及的主要模块有数据预处理模块、决策树建立模块和决策树修改模块。该发明应用在移动车载网络中，设计到的网络终端有网络访问请求、网络访问授权和策略执行点。通过这三个终端设备以及它们之间的通信规范能够实现在不改变现有的网络结构及通信协议的前提下，捕获通信中的数据包，并根据数据包中IP地址、协议类型和端口号等属性对数据包进行分类，最终建立适用于安全审计中的决策树。

主权项

一种安全审计中的决策树生成方法，其特征在于根据用户的网络数据可以对数据进行分类，从而对分类的数据建立决策树，最后对建立的决策树不断地进行修改调整，所述方法包括数据预处理模块、决策树建立模块和决策树修改模块；上述数据预处理模块完成了对网络数据的属性值的处理，所述方法主要考虑IP地址、端口号和协议类型等属性，将IP地址分成主机地址和网络地址两个独立的属性，这样所述方法建立决策树所需的属性即：源IP网段号、源IP主机号、源端口号、目的IP网段号、目的IP主机号、目的端口号和协议类型，为了排除原始属性变量之间的不同度量对分类的影响，以相同的量级参与分类，同时把把IP、端口号和协议类型全部转换成十进制处理；上述决策树建立模块完成了对网络中的数据包进行分类，并统计满足当前分类条件的数据包的属性取值情况，根据决策树算法建立决策树，该树的每一个从根节点到叶子节点的路径都对应一条规则，这个规则可以用来作为判断数据包安全与否的依据，决策树从根节点到叶子节点的任意一条路径都包含数据预处理模块中的所有属性；上述决策树修改模块将许多规模比较小的决策树组建成决策树森林，目的是提高决策树的分类精度和决策树更新的频率，同时也能控制单棵决策树的大小，更新的时候采取替换决策树的方法，即当数据达到饱和时就建立新的树，将原有的某棵树替换掉。