【技术实现步骤摘要】
异常命令的检测方法、装置、电子设备及存储介质
[0001]本申请涉及安全检测
,特别是涉及一种异常命令的检测方法、装置、电子设备及存储介质。
技术介绍
[0002]当下,计算机技术的高速发展,给人们的工作、生活以及娱乐带来了丰富多彩的体验。一般来说,终端或者服务器等设备,可以通过接收使用者触发的命令,执行对应的业务流程,从而满足正常的使用需求。然而,在实际运行中,设备往往会存在接收到异常命令的情况,比如说黑客渗透服务器后恶意下发异常命令,或者终端的账号信息被攻击者盗用,攻击者登录后触发异常命令等。若设备执行异常命令,可能会给使用者带来损失,或者影响设备的正常运行。
[0003]相关技术中,为了实现对异常命令的检测和拦截,一般采用的方式是预先设定相应的匹配规则,例如设定哪些命令的类型属于敏感操作类型,哪些文件属于敏感文件等,形成异常命令规则库。然后在接收到命令后,在设定好的异常命令规则库中遍历查找是否有匹配的结果,从而判断出当前的命令是否为异常命令。但是,这种实现方式设定的匹配规则依赖大量的经验总结,缺乏灵活性,在面临复杂的应用环境时经常存在有误判、漏判的情况,准确度偏低。
技术实现思路
[0004]本申请实施例提供了一种异常命令的检测方法、装置、电子设备及存储介质,能够提高异常命令的检测准确度,有利于改善设备的使用体验。
[0005]一方面,本申请实施例提供了一种异常命令的检测方法,包括:
[0006]获取待检测的目标命令信息;
[0007]对所述目标命令信息和历 ...
【技术保护点】
【技术特征摘要】
1.一种异常命令的检测方法,其特征在于,包括:获取待检测的目标命令信息;对所述目标命令信息和历史命令信息进行匹配,确定所述目标命令信息是否存在行为异常;其中,所述历史命令信息为所述目标命令信息的执行设备在历史时间段执行过的命令信息;在全局命令信息库中对所述目标命令信息进行聚类,确定所述目标命令信息所属的目标聚类簇;根据所述目标聚类簇,确定所述目标命令信息是否存在类别异常;当所述目标命令信息存在行为异常和类别异常,确定所述目标命令信息为异常命令。2.根据权利要求1所述的异常命令的检测方法,其特征在于,所述获取待检测的目标命令信息的步骤之后,所述方法还包括以下步骤至少之一:将所述目标命令信息中的参数替换为预设的字符串;或者,删除所述目标命令信息中的符号内容。3.根据权利要求1所述的异常命令的检测方法,其特征在于,所述对所述目标命令信息和历史命令信息进行匹配,确定所述目标命令信息是否存在行为异常,包括:根据各个所述历史命令信息,确定与所述目标命令信息匹配的相似命令集合;若所述相似命令集合中的历史命令信息的个数小于第一预设个数阈值,确定所述目标命令信息存在行为异常;或者,若所述相似命令集合中的历史命令信息所分布的历史时间段小于预设周期阈值,确定所述目标命令信息存在行为异常。4.根据权利要求3所述的异常命令的检测方法,其特征在于,所述根据各个所述历史命令信息,确定与所述目标命令信息匹配的相似命令集合,包括:计算各个所述历史命令信息和所述目标命令信息之间的第一相似度;选取所述第一相似度大于第一预设阈值的历史命令信息,得到所述相似命令集合。5.根据权利要求1所述的异常命令的检测方法,其特征在于,所述对所述目标命令信息和历史命令信息进行匹配,确定所述目标命令信息是否存在行为异常,包括:提取所述目标命令信息的第一行为特征,对所述第一行为特征和第二行为特征进行匹配;其中,所述第二行为特征通过历史命令信息提取得到;若所述第一行为特征和所述第二行为特征匹配失败,确定所述目标命令信息存在行为异常。6.根据权利要求1
‑
5中任一项所述的异常命令的检测方法,其特征在于,所述全局命令信息库中包括多个第一命令信息;所述全局命令信息库通过以下步骤建立:获取多个执行设备接收到的第一命令信息;提取各个所述第一命令信息的第一特征向量;根据所述第一特征向量对各个所述第一命令信息进行聚类,得到至少一个参照聚类簇,并计算所述参照聚类簇的簇心坐标;记录各个所述第一命令信息所属的参照聚类簇以及各个所述参照聚类簇的簇心坐标,得到所述全局信息库。7.根据权利要求6所述的异常命令的检测方法,其特征在于,所述提取各个所述第一命令信息的第一特征向量,包括:
对所述第一命令信息进行分词处理,得到命令序列;所述命令序列中包括多个字符元素;确定各个所述字符元素的子特征向量;对所述子特征向量进行融合处理,得到所述第一命令信息的第一特征向量。8.根据权利要求7所述的异常命令的检测方法,其特...
【专利技术属性】
技术研发人员:韩孟玲,杨琛,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。