本发明专利技术公开了一种用于监控命令是否异常的设备和方法,其中用于监控命令是否异常的设备包括:接收器,被配置为接收受监控的命令;过滤器,被配置为对接收的命令采用预置的可疑规则进行过滤,将被可疑规则命中的命令输入分类器;以及分类器,被配置为根据已有分类模型的训练样本集,对从过滤器新输入至分类器的命令进行分类,至少识别出异常命令和正常命令。通过本发明专利技术,能够及时对受监控的命令进行及时有效的识别,从而发现受监控的命令中具有一定危险性的异常命令,提高了系统的安全性。
【技术实现步骤摘要】
本专利技术涉及计算机
,特别是涉及。
技术介绍
随着网络的快速发展,出现了需要为大量用户服务的网络系统。这些网络系统通常分布于大量的服务器之上,同时这些服务器通常构建为集群的方式来为用户服务。随着提供服务的服务器越来越多,如何对这些服务器进行监控成为了目前需要迫切解决的问题。例如,有些管理员可以在某些服务器上进行操作,但是,这些管理员可能不十分了解这些服务器上提供的服务,所以这些操作命令可能会导致服务器不能正常工作、甚至造成严重后果。另外,随着服务器的增多,有些服务器可能会被黑客所侵入,这些黑客就可能执行一些恶意操作来破坏服务器的正常运行。当然上述情况不仅仅存在于服务器,还可能存在于其他类似的设备上。因此,如何对服务器等设备上执行的命令是否为异常命令,做出较为准确的判断、并且尽量少的误报是目如急需解决的问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的用于监控命令是否异常的设备和相应的用于监控命令是否异常的设备方法。可选的,本专利技术实施例提供一种用于监控命令是否异常的设备,包括:接收器,被配置为接收受监控的命令;过滤器,被配置为对所述接收的命令采用预置的可疑规则进行过滤,将被所述可疑规则命中的命令输入分类器;以及分类器,被配置为根据已有分类模型的训练样本集,对从所述过滤器新输入至分类器的命令进行分类,至少识别出异常命令和正常命令。可选的,所述分类器包括:第一切分模块,被配置为将从所述过滤器新输入至分类器的命令切分为若干特征词,获得该命令包含的各特征词;先验获取模块,被配置为获取在已有分类模型的训练样本集中、当一条命令是异常命令时其包含某一特征词Wn的先验概率P (wn I y2),和当一条命令是正常命令时其包含某一特征词Wn的先验概率P(WnIy1),以及在已有训练样本集中出现异常命令的先验概率P(y2)和出现正常命令的先验概率P(Y1);概率分析模块,被配置为根据所述命令包含的各特征词,以及与所述各特征词相关的先验概率,获得所述命令分别为异常命令的概率和正常命令的概率;以及类别识别模块,被配置为至少根据所述命令是异常命令的概率和正常命令的概率,识别所述命令所属类别,所述类别至少包括异常命令和正常命令两类。可选的,所述先验获取模块还被配置为获取在已有分类模型的训练样本集中、当一条命令是未知命令时其包含某一特征词Wn的先验概率P (wn |y3),以及在已有训练样本集中出现未知命令的先验概率P (y3);所述概率分析模块还被配置为获得所述命令是未知命令的概率;以及所述类别识别模块还被配置为识别所述命令是否属于未知命令的类别。可选的,所述概率分析模块具体被配置为根据命令所包含的各特征,以及与所述各特征相关的先验概率,基于贝叶斯原理或费舍尔原理获得所述命令是异常命令的概率和该命令是正常命令的概率。可选的,所述分类器具体被配置为基于贝叶斯原理或费舍尔原理或决策树原理或逻辑回归原理或偏最小二乘法P s L原理的分类器。可选的,还包括:学习器,被配置为至少将经所述分类器进行过分类的命令与已有训练样本集合并后进行机器学习,更新所述分类器使用的已有训练样本集。可选的,所述学习器具体包括:合并模块,被配置为至少将经所述分类器进行过分类的命令合并至已有分类模型的训练样本集;第二切分模块,被配置为将所述训练样本集中的各命令切分为若干特征词;分类标记模块,被配置为对所述训练样本集中的命令标记分类结果,所述分类结果至少包括异常命令和正常命令两类;以及建模模块,统计在相应类别中每个特征词的概率分布和命令所属类别的概率分布,建立分类模型,为所述分类器提供所需的先验概率。可选的,所述分类标记模块在根据所述过滤器和/或分类器的输出结果为所述各命令标记分类结果之外,还被配置为对所述标记的分类结果进行修正。可选的,还包括:告警器,被配置为至少根据所述分类器输出的结果确定是否进行告警提示。可选的,所述过滤器包括:规则交互接口,被配置为接收预先根据常见危险操作的特征生成的可疑规则,每条可疑规则包括至少一个危险操作的特征标识,将所述可疑规则提供给匹配模块;以及匹配模块,被配置为根据所述规则交互接口提供的可疑规则,对所述接收器接收的命令进行过滤,获得被所述可疑规则命中的命令,并输入分类器。可选的,所述可疑规则包括下述至少一个危险操作的特征标识:添加账户;打开、修改或删除敏感文件的关键属性;查看或修改敏感文件的密码。可选的,所述过滤器还被配置为输出被所述可疑规则命中的命令的告警权值,所述告警权值基于该条可疑规则的总体命中率获得。可选的,所述告警器具体被配置为根据所述过滤器输出的告警权值和所述分类器输出的结果共同确定是否进行告警提示。本专利技术实施例还提供了一种用于监控命令是否异常的方法,包括:接收受监控的命令;对所述受监控的命令采用预置的可疑规则进行过滤,获得被所述可疑规则命中的命令;根据已有分类模型的训练样本集,对被所述可疑规则命中的命令进行分类,至少识别出异常命令和正常命令;可选的,所述对被可疑规则命中的命令进行分类的步骤包括:将所述命令切分为若干特征词,获得该命令包含的各特征词;获取在已有分类模型的训练样本集中、当一条命令是异常命令时其包含某一特征词的先验概率P(WnIy2),和当一条命令是正常命令时其包含某一特征词Wn的先验概率P(W1Jy1),以及在已有训练样本集中出现异常命令的先验概率P(y2)和出现正常命令的先验概率P(Y1);根据所述命令包含的各特征词,以及与所述各特征词相关的先验概率,获得所述命令分别为异常命令的概率和正常命令的概率;以及至少根据所述命令是异常命令的概率和正常命令的概率,识别所述命令所属类别,所述类别至少包括异常命令和正常命令两类。可选的,还包括:获取在已有分类模型的训练样本集中、当一条命令是未知命令时其包含某一特征词Wn的先验概率P (wn |y3),以及在已有训练样本集中出现未知命令的先验概率p(y3);获得所述命令是未知命令的概率;以及至少根据所述命令是未知命令的概率,识别所述命令是否属于未知命令的类别。可选的,所述获得命令分别为异常命令的概率和正常命令的概率的步骤包括:基于贝叶斯原理或费舍尔原理获得所述命令是异常命令的概率和该命令是正常命令的概率。可选的,还包括:将进行过分类的命令与已有训练样本集合并后进行机器学习,更新进行分类时使用的已有训练样本集。可选的,所述进行机器学习的步骤包括:至少将进行过分类的命令合并至已有分类模型的训练样本集;将所述训练样本集中的各命令切分为若干特征词;对所述训练样本集中的命令标记分类结果,所述分类结果至少包括异常命令和正常命令两类;以及统计在相应类别中每个特征词的概率分布和命令所属类别的概率分布,建立分类模型,为进行分类时提供所需的先验概率。可选的,还包括:至少根据分类结果确定是否进行告警提示。可选的,所述对受监控的命令采用预置的可疑规则进行过滤的步骤包括:接收预先根据常见危险操作的特征生成的可疑规则,每条可疑规则包括至少一个危险操作的特征标识;根据所述可疑规则,对所述接收器接收的命令进行过滤。可选的,所述可疑规则包括下述至少一个危险操作的特征标识:添加账户;打开、修改或删除敏感文件的关键属性;查看或修本文档来自技高网...
【技术保护点】
一种用于监控命令是否异常的设备,包括:?接收器,被配置为接收受监控的命令;?过滤器,被配置为对所述接收的命令采用预置的可疑规则进行过滤,将被所述可疑规则命中的命令输入分类器;以及?分类器,被配置为根据已有分类模型的训练样本集,对从所述过滤器新输入至分类器的命令进行分类,至少识别出异常命令和正常命令。
【技术特征摘要】
1.一种用于监控命令是否异常的设备,包括: 接收器,被配置为接收受监控的命令; 过滤器,被配置为对所述接收的命令采用预置的可疑规则进行过滤,将被所述可疑规则命中的命令输入分类器;以及 分类器,被配置为根据已有分类模型的训练样本集,对从所述过滤器新输入至分类器的命令进行分类,至少识别出异常命令和正常命令。2.如权利要求1所述的设备,所述分类器包括: 第一切分模块,被配置为将从所述过滤器新输入至分类器的命令切分为若干特征词,获得该命令包含的各特征词; 先验获取模块,被配置为获取在已有分类模型的训练样本集中、当一条命令是异常命令时其包含某一特征词wn的先验概率P(WnIy2),和当一条命令是正常命令时其包含某一特征词wn的先验概率?(^|71),以及在已有训练样本集中出现异常命令的先验概率?(72)和出现正常命令的先验概率P (Y1); 概率分析模块,被配置为根据所述命令包含的各特征词,以及与所述各特征词相关的先验概率,获得所述命令分别为异常命令的概率和正常命令的概率;以及 类别识别模块,被配置为至少根据所述命令是异常命令的概率和正常命令的概率,识别所述命令所属类别,所述类别至少包括异常命令和正常命令两类。3.如权利要求2所述的设备: 所述先验获取模块还被配置为获取在已有分类模型的训练样本集中、当一条命令是未知命令时其包含某一特征词Wn的先验概率P(W1Jy3),以及在已有训练样本集中出现未知命令的先验概率P (y3); 所述概率分析模块还被配置为获得所述命令是未知命令的概率;以及 所述类别识别模块还被配置为识别所述命令是否属于未知命令的类别。4.如权利要求2或3所述的设备, 所述概率分析模块具体被配置为根据命令所包含的各特征,以及与所述各特征相关的先验概率,基于贝叶斯原理或费舍尔原理获得所述命令是异常命令的概率和该命令是正常命令的概率。5.如权利要求1所述的设备,所述分...
【专利技术属性】
技术研发人员:张卓,杨卿,刘小雄,李洪亮,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。