一種用于監(jiān)控命令是否異常的設(shè)備和方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種用于監(jiān)控命令是否異常的設(shè)備和方法�����,其中用于監(jiān)控命令是否異常的設(shè)備包括:接收器�����,被配置為接收受監(jiān)控的命令�����;過(guò)濾器���,被配置為對(duì)接收的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾���,將被可疑規(guī)則命中的命令輸入分類(lèi)器;以及分類(lèi)器��,被配置為根據(jù)已有分類(lèi)模型的訓(xùn)練樣本集�����,對(duì)從過(guò)濾器新輸入至分類(lèi)器的命令進(jìn)行分類(lèi)��,至少識(shí)別出異常命令和正常命令����。通過(guò)本發(fā)明���,能夠及時(shí)對(duì)受監(jiān)控的命令進(jìn)行及時(shí)有效的識(shí)別�,從而發(fā)現(xiàn)受監(jiān)控的命令中具有一定危險(xiǎn)性的異常命令,提高了系統(tǒng)的安全性�����。
【專(zhuān)利說(shuō)明】一種用于監(jiān)控命令是否異常的設(shè)備和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】�,特別是涉及一種用于監(jiān)控命令是否異常的設(shè)備和方法。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的快速發(fā)展�����,出現(xiàn)了需要為大量用戶服務(wù)的網(wǎng)絡(luò)系統(tǒng)�����。這些網(wǎng)絡(luò)系統(tǒng)通常分布于大量的服務(wù)器之上����,同時(shí)這些服務(wù)器通常構(gòu)建為集群的方式來(lái)為用戶服務(wù)。隨著提供服務(wù)的服務(wù)器越來(lái)越多�����,如何對(duì)這些服務(wù)器進(jìn)行監(jiān)控成為了目前需要迫切解決的問(wèn)題�����。
[0003]例如,有些管理員可以在某些服務(wù)器上進(jìn)行操作��,但是���,這些管理員可能不十分了解這些服務(wù)器上提供的服務(wù)��,所以這些操作命令可能會(huì)導(dǎo)致服務(wù)器不能正常工作����、甚至造成嚴(yán)重后果���。另外�,隨著服務(wù)器的增多�����,有些服務(wù)器可能會(huì)被黑客所侵入����,這些黑客就可能執(zhí)行一些惡意操作來(lái)破壞服務(wù)器的正常運(yùn)行���。
[0004]當(dāng)然上述情況不僅僅存在于服務(wù)器���,還可能存在于其他類(lèi)似的設(shè)備上�����。因此��,如何對(duì)服務(wù)器等設(shè)備上執(zhí)行的命令是否為異常命令���,做出較為準(zhǔn)確的判斷、并且盡量少的誤報(bào)是目如急需解決的問(wèn)題����。
【發(fā)明內(nèi)容】
[0005]鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的用于監(jiān)控命令是否異常的設(shè)備和相應(yīng)的用于監(jiān)控命令是否異常的設(shè)備方法�����。
[0006]可選的��,本發(fā)明實(shí)施例提供一種用于監(jiān)控命令是否異常的設(shè)備����,包括:接收器�����,被配置為接收受監(jiān)控的命令�;過(guò)濾器�,被配置為對(duì)所述接收的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾,將被所述可疑規(guī)則命中的命令輸入分類(lèi)器��;以及分類(lèi)器����,被配置為根據(jù)已有分類(lèi)模型的訓(xùn)練樣本集,對(duì)從所述過(guò)濾器新輸入至分類(lèi)器的命令進(jìn)行分類(lèi)��,至少識(shí)別出異常命令和正常命令����。
[0007]可選的,所述分類(lèi)器包括:第一切分模塊����,被配置為將從所述過(guò)濾器新輸入至分類(lèi)器的命令切分為若干特征詞,獲得該命令包含的各特征詞�����;先驗(yàn)獲取模塊�,被配置為獲取在已有分類(lèi)模型的訓(xùn)練樣本集中、當(dāng)一條命令是異常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P (wn I y2)��,和當(dāng)一條命令是正常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(WnIy1),以及在已有訓(xùn)練樣本集中出現(xiàn)異常命令的先驗(yàn)概率P(y2)和出現(xiàn)正常命令的先驗(yàn)概率P(Y1);概率分析模塊�����,被配置為根據(jù)所述命令包含的各特征詞����,以及與所述各特征詞相關(guān)的先驗(yàn)概率,獲得所述命令分別為異常命令的概率和正常命令的概率�����;以及類(lèi)別識(shí)別模塊���,被配置為至少根據(jù)所述命令是異常命令的概率和正常命令的概率��,識(shí)別所述命令所屬類(lèi)別�,所述類(lèi)別至少包括異常命令和正常命令兩類(lèi)����。
[0008]可選的�����,所述先驗(yàn)獲取模塊還被配置為獲取在已有分類(lèi)模型的訓(xùn)練樣本集中����、當(dāng)一條命令是未知命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P (wn |y3)���,以及在已有訓(xùn)練樣本集中出現(xiàn)未知命令的先驗(yàn)概率P (y3);所述概率分析模塊還被配置為獲得所述命令是未知命令的概率�;以及所述類(lèi)別識(shí)別模塊還被配置為識(shí)別所述命令是否屬于未知命令的類(lèi)別���。
[0009]可選的�����,所述概率分析模塊具體被配置為根據(jù)命令所包含的各特征�����,以及與所述各特征相關(guān)的先驗(yàn)概率�,基于貝葉斯原理或費(fèi)舍爾原理獲得所述命令是異常命令的概率和該命令是正常命令的概率�。
[0010]可選的,所述分類(lèi)器具體被配置為基于貝葉斯原理或費(fèi)舍爾原理或決策樹(shù)原理或邏輯回歸原理或偏最小二乘法P s L原理的分類(lèi)器�。
[0011]可選的��,還包括:學(xué)習(xí)器�,被配置為至少將經(jīng)所述分類(lèi)器進(jìn)行過(guò)分類(lèi)的命令與已有訓(xùn)練樣本集合并后進(jìn)行機(jī)器學(xué)習(xí)��,更新所述分類(lèi)器使用的已有訓(xùn)練樣本集���。
[0012]可選的,所述學(xué)習(xí)器具體包括:合并模塊���,被配置為至少將經(jīng)所述分類(lèi)器進(jìn)行過(guò)分類(lèi)的命令合并至已有分類(lèi)模型的訓(xùn)練樣本集��;第二切分模塊����,被配置為將所述訓(xùn)練樣本集中的各命令切分為若干特征詞�����;分類(lèi)標(biāo)記模塊�����,被配置為對(duì)所述訓(xùn)練樣本集中的命令標(biāo)記分類(lèi)結(jié)果���,所述分類(lèi)結(jié)果至少包括異常命令和正常命令兩類(lèi)�����;以及建模模塊����,統(tǒng)計(jì)在相應(yīng)類(lèi)別中每個(gè)特征詞的概率分布和命令所屬類(lèi)別的概率分布,建立分類(lèi)模型��,為所述分類(lèi)器提供所需的先驗(yàn)概率��。
[0013]可選的��,所述分類(lèi)標(biāo)記模塊在根據(jù)所述過(guò)濾器和/或分類(lèi)器的輸出結(jié)果為所述各命令標(biāo)記分類(lèi)結(jié)果之外�����,還被配置為對(duì)所述標(biāo)記的分類(lèi)結(jié)果進(jìn)行修正���。
[0014]可選的�,還包括:告警器�����,被配置為至少根據(jù)所述分類(lèi)器輸出的結(jié)果確定是否進(jìn)行
告警提示。
[0015]可選的����,所述過(guò)濾器包括:規(guī)則交互接口,被配置為接收預(yù)先根據(jù)常見(jiàn)危險(xiǎn)操作的特征生成的可疑規(guī)則��,每條可疑規(guī)則包括至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí)����,將所述可疑規(guī)則提供給匹配模塊��;以及匹配模塊�����,被配置為根據(jù)所述規(guī)則交互接口提供的可疑規(guī)則��,對(duì)所述接收器接收的命令進(jìn)行過(guò)濾���,獲得被所述可疑規(guī)則命中的命令�����,并輸入分類(lèi)器���。
[0016]可選的�,所述可疑規(guī)則包括下述至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí):添加賬戶���;打開(kāi)�����、修改或刪除敏感文件的關(guān)鍵屬性���;查看或修改敏感文件的密碼。
[0017]可選的�,所述過(guò)濾器還被配置為輸出被所述可疑規(guī)則命中的命令的告警權(quán)值,所述告警權(quán)值基于該條可疑規(guī)則的總體命中率獲得����。
[0018]可選的,所述告警器具體被配置為根據(jù)所述過(guò)濾器輸出的告警權(quán)值和所述分類(lèi)器輸出的結(jié)果共同確定是否進(jìn)行告警提示���。
[0019]本發(fā)明實(shí)施例還提供了一種用于監(jiān)控命令是否異常的方法���,包括:接收受監(jiān)控的命令;對(duì)所述受監(jiān)控的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾,獲得被所述可疑規(guī)則命中的命令�����;根據(jù)已有分類(lèi)模型的訓(xùn)練樣本集�,對(duì)被所述可疑規(guī)則命中的命令進(jìn)行分類(lèi),至少識(shí)別出異常命令和正常命令�����;
[0020]可選的���,所述對(duì)被可疑規(guī)則命中的命令進(jìn)行分類(lèi)的步驟包括:將所述命令切分為若干特征詞�����,獲得該命令包含的各特征詞;獲取在已有分類(lèi)模型的訓(xùn)練樣本集中���、當(dāng)一條命令是異常命令時(shí)其包含某一特征詞的先驗(yàn)概率P(WnIy2)����,和當(dāng)一條命令是正常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(W1Jy1)���,以及在已有訓(xùn)練樣本集中出現(xiàn)異常命令的先驗(yàn)概率P(y2)和出現(xiàn)正常命令的先驗(yàn)概率P(Y1);根據(jù)所述命令包含的各特征詞�,以及與所述各特征詞相關(guān)的先驗(yàn)概率,獲得所述命令分別為異常命令的概率和正常命令的概率�����;以及至少根據(jù)所述命令是異常命令的概率和正常命令的概率�,識(shí)別所述命令所屬類(lèi)別,所述類(lèi)別至少包括異常命令和正常命令兩類(lèi)����。
[0021]可選的,還包括:獲取在已有分類(lèi)模型的訓(xùn)練樣本集中��、當(dāng)一條命令是未知命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P (wn |y3)��,以及在已有訓(xùn)練樣本集中出現(xiàn)未知命令的先驗(yàn)概率p(y3);獲得所述命令是未知命令的概率����;以及至少根據(jù)所述命令是未知命令的概率,識(shí)別所述命令是否屬于未知命令的類(lèi)別�。
[0022]可選的,所述獲得命令分別為異常命令的概率和正常命令的概率的步驟包括:基于貝葉斯原理或費(fèi)舍爾原理獲得所述命令是異常命令的概率和該命令是正常命令的概率���。
[0023]可選的����,還包括:將進(jìn)行過(guò)分類(lèi)的命令與已有訓(xùn)練樣本集合并后進(jìn)行機(jī)器學(xué)習(xí),更新進(jìn)行分類(lèi)時(shí)使用的已有訓(xùn)練樣本集����。
[0024]可選的,所述進(jìn)行機(jī)器學(xué)習(xí)的步驟包括:至少將進(jìn)行過(guò)分類(lèi)的命令合并至已有分類(lèi)模型的訓(xùn)練樣本集�����;將所述訓(xùn)練樣本集中的各命令切分為若干特征詞����;對(duì)所述訓(xùn)練樣本集中的命令標(biāo)記分類(lèi)結(jié)果,所述分類(lèi)結(jié)果至少包括異常命令和正常命令兩類(lèi)����;以及統(tǒng)計(jì)在相應(yīng)類(lèi)別中每個(gè)特征詞的概率分布和命令所屬類(lèi)別的概率分布,建立分類(lèi)模型����,為進(jìn)行分類(lèi)時(shí)提供所需的先驗(yàn)概率��。
[0025]可選的��,還包括:至少根據(jù)分類(lèi)結(jié)果確定是否進(jìn)行告警提示。
[0026]可選的�����,所述對(duì)受監(jiān)控的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾的步驟包括:接收預(yù)先根據(jù)常見(jiàn)危險(xiǎn)操作的特征生成的可疑規(guī)則�,每條可疑規(guī)則包括至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí);根據(jù)所述可疑規(guī)則���,對(duì)所述接收器接收的命令進(jìn)行過(guò)濾�。
[0027]可選的��,所述可疑規(guī)則包括下述至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí):添加賬戶�;打開(kāi)、修改或刪除敏感文件的關(guān)鍵屬性�����;查看或修改敏感文件的密碼�����。
[0028]可選的����,在對(duì)所述受監(jiān)控的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾的步驟還包括:獲得被所述可疑規(guī)則命中的命令的告警權(quán)值��,所述告警權(quán)值基于該條可疑規(guī)則的總體命中率獲得�����。
[0029]可選的�,所述至少根據(jù)分類(lèi)結(jié)果確定是否進(jìn)行告警提示的步驟包括:根據(jù)所述被可疑規(guī)則命中的命令的告警權(quán)值和對(duì)應(yīng)的分類(lèi)結(jié)果共同確定是否進(jìn)行告警提示����。
[0030]根據(jù)本發(fā)明的一種用于監(jiān)控命令是否異常的設(shè)備,可以接收在網(wǎng)絡(luò)系統(tǒng)上輸入的受監(jiān)控的命令����,進(jìn)而對(duì)接收到的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾,并將被可以規(guī)則命中的命令作為可疑命令輸入分類(lèi)器�����,再由分類(lèi)器對(duì)可疑命令進(jìn)行進(jìn)一步的檢測(cè)�����,識(shí)別出其是正常命令還是異常命令�,通過(guò)該用于監(jiān)控命令是否異常的設(shè)備�,能夠?qū)υ诰W(wǎng)絡(luò)系統(tǒng)上輸入的命令及時(shí)地進(jìn)行判斷�,且通過(guò)預(yù)置的可疑規(guī)則進(jìn)行判斷后��,還使用分類(lèi)器��,對(duì)可疑規(guī)則命中的命令進(jìn)行進(jìn)一步的判斷��,從而有效地保證了對(duì)網(wǎng)絡(luò)系統(tǒng)上輸入的命令是否異常進(jìn)行判斷的準(zhǔn)確性�,對(duì)網(wǎng)絡(luò)系統(tǒng)的異常命令做出更為及時(shí)、有效�、準(zhǔn)確的判斷,減少了對(duì)命令輸入進(jìn)行檢測(cè)時(shí)的誤報(bào)����。
[0031]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點(diǎn)能夠更明顯易懂�����,以下特舉本發(fā)明的【具體實(shí)施方式】。
【專(zhuān)利附圖】
【附圖說(shuō)明】[0032]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述���,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了�。附圖僅用于示出優(yōu)選實(shí)施方式的目的�,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中��,用相同的參考符號(hào)表示相同的部件����。在附圖中:
[0033]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種用于監(jiān)控命令是否異常的設(shè)備示意圖;
[0034]圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種用于監(jiān)控命令是否異常的方法流程圖����;以及
[0035]圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的具體應(yīng)用示意圖。
【具體實(shí)施方式】
[0036]下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例����。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解���,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制�。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)�,并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0037]請(qǐng)參見(jiàn)圖1�����,圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種用于監(jiān)控命令是否異常的設(shè)備示意圖�,在該設(shè)備最基本的實(shí)現(xiàn)方式中��,可以包括接收器110��,過(guò)濾器120���,以及分類(lèi)器130 ;可選的�,該設(shè)備還可以包括學(xué)習(xí)器140���,告警器150�����。下面對(duì)該監(jiān)控命令是否異常的設(shè)備���,以及各組成部分進(jìn)行的具體實(shí)現(xiàn)方式進(jìn)行具體的介紹。
[0038]網(wǎng)絡(luò)系統(tǒng)通常由多個(gè)王機(jī)終端組成,在各王機(jī)終端輸入的命令中有可能存在對(duì)系統(tǒng)運(yùn)行造成潛在危害的命令���,在網(wǎng)絡(luò)系統(tǒng)中�����,可以對(duì)其中的各主機(jī)部署監(jiān)控措施��,實(shí)時(shí)地監(jiān)控主機(jī)上的命令輸入�����,并發(fā)送給用于監(jiān)控命令是否異常的設(shè)備���。用于監(jiān)控命令是否異常的設(shè)備可以通過(guò)接收器110來(lái)接收受監(jiān)控的命令,此外�,接收器110除了接收各主機(jī)終端上輸入的命令,可選的�,還可以接收各主機(jī)的標(biāo)識(shí)信息,其中�,主機(jī)標(biāo)識(shí)可以是網(wǎng)絡(luò)系統(tǒng)中各主機(jī)的主機(jī)名和/或IP地址等,通過(guò)接收到的主機(jī)標(biāo)識(shí)��,可以判斷輸入的命令是哪部主機(jī)發(fā)出的�,以便于一旦該命令存在風(fēng)險(xiǎn)���,可以對(duì)相應(yīng)的主機(jī)采取進(jìn)一步的措施。
[0039]接收器110接收到的命令中�����,一般會(huì)包括正常命令�����,以及可能為具有危險(xiǎn)的異常命令��,所以還需要對(duì)接收器110接收到的命令進(jìn)行進(jìn)一步的甄別����。過(guò)濾器120耦接于接收器110�����,接收器110可以將接收到的命令輸入到過(guò)濾器120�,過(guò)濾器120對(duì)接收到的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾,并將被可疑規(guī)則命中的命令輸入分類(lèi)器130����。預(yù)置的可疑規(guī)貝U,可以是預(yù)先根據(jù)常見(jiàn)危險(xiǎn)操作的特征生成的,每條可疑規(guī)則包括至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí)�。危險(xiǎn)操作包括危險(xiǎn)系數(shù)較高、可能對(duì)系統(tǒng)造成危害的命令輸入執(zhí)行��,比如通過(guò)輸入命令進(jìn)行的下述操作:添加賬戶�����;打開(kāi)���、修改或刪除敏感文件的關(guān)鍵屬性��;查看或修改敏感文件的密碼���;更改網(wǎng)絡(luò)設(shè)置;提升用戶權(quán)限���;更改防火墻設(shè)置�;查看系統(tǒng)日志��;編譯代碼�;命令中包含有害敏感詞;更改文件權(quán)限和屬性�����;關(guān)機(jī)/重啟;顯示特定文件內(nèi)容�;建立網(wǎng)絡(luò)鏈接并下載指定地址的文件等等?��?梢詫?duì)這些危險(xiǎn)操作的對(duì)應(yīng)的命令進(jìn)行特征提取����,命令過(guò)濾器120利用這些特征����,在接收器110接收到的若干命令中對(duì)可能有害的命令進(jìn)行過(guò)濾�����。
[0040]在具體實(shí)現(xiàn)可疑規(guī)則過(guò)濾時(shí)可以采用正則表達(dá)式的方式����,即在正則表達(dá)式中體現(xiàn)危險(xiǎn)操作的特征標(biāo)識(shí),從而通過(guò)預(yù)置的正則表達(dá)式規(guī)則過(guò)濾出具有這些危險(xiǎn)操作特征標(biāo)識(shí)的命令�,即將正則表達(dá)式規(guī)則與收集到的當(dāng)前命令進(jìn)行匹配,將其中命中可疑規(guī)則的異常命令過(guò)濾出來(lái)�����,而未被可疑規(guī)則命中的命令可以視為正常命令。過(guò)濾器120可以包括規(guī)則交互接口 1202��,通過(guò)規(guī)則交互接口 1202接收預(yù)先根據(jù)常見(jiàn)危險(xiǎn)操作的特征生成的可疑規(guī)貝U����,每條可疑規(guī)則包括至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí),將可疑規(guī)則提供給匹配模塊1204 ��;匹配模塊1204根據(jù)規(guī)則交互接口 1202提供的可疑規(guī)則�����,對(duì)接收器110接收的命令進(jìn)行過(guò)濾��,獲得被可疑規(guī)則命中的命令����,并輸入分類(lèi)器130。
[0041]此外���,每一條正則表達(dá)式���,可能僅針對(duì)特定格式或特定內(nèi)容的命令進(jìn)行過(guò)濾���,因此在實(shí)際應(yīng)用時(shí),更多的情況是使用多條正則表達(dá)式進(jìn)行對(duì)接收的命令進(jìn)行多輪過(guò)濾���。即將命中了任意一條可疑規(guī)則的命令確定為可疑命令��,將未命中所有規(guī)則的命令確定為正常命令���。可疑規(guī)則包括可以下述至少一個(gè)危險(xiǎn)操作的特征標(biāo)識(shí):添加賬戶�;打開(kāi)、修改或刪除敏感文件的關(guān)鍵屬性���;查看或修改敏感文件的密碼。
[0042]例如��,通過(guò)一些命令打開(kāi)密碼文件可以實(shí)現(xiàn)對(duì)密碼的獲取����,而查看密碼文件的行為通常被理解為可能是視圖非法獲取密碼的越權(quán)行為,如在Linux操作系統(tǒng)中���,密碼文件一般會(huì)存儲(chǔ)在特定的路徑下��,并以特定的文件名來(lái)命名�����,而Linux操作系統(tǒng)中又提供了對(duì)特定文件的內(nèi)容進(jìn)行查看的命令��,這就給非法獲取密碼的行為提供了可能的途徑����。例如當(dāng)有足夠的權(quán)限時(shí),執(zhí)行命令:“cat/etC/paSSWd”就可以實(shí)現(xiàn)對(duì)密碼文件“passwd”內(nèi)保存的密碼內(nèi)容進(jìn)行查看�。為了對(duì)這種命令進(jìn)行過(guò)濾,可以采用正則表達(dá)式:
[0043].*[\s\ff] +passwd.*| 'passwd.* 以及���,
[0044].*passwd.*
[0045]通過(guò)這兩個(gè)正則表達(dá)式形式的可疑規(guī)則���,可以過(guò)濾出所有包含敏感內(nèi)容關(guān)鍵字“passwd”的命令,從而篩選出打開(kāi)密碼文件的輸入命令�。通過(guò)上述正則表達(dá)式,不僅僅能過(guò)濾出查看密碼文件的命令���,還可以過(guò)濾出與“passwd”相關(guān)的操作命令,例如“rm - rf/etc/passwd”命令可以將“passwd”文件刪除��,而這樣的操作可能導(dǎo)致系統(tǒng)用戶無(wú)法正常登錄��,而通過(guò)這兩個(gè)正則表達(dá)式中的任意一個(gè)��,可以將“rm - rf/etc/passwd”從接收到的命令中過(guò)濾出來(lái)�����。
[0046]過(guò)濾器120過(guò)濾出的被可疑規(guī)則命中的命令���,進(jìn)一步輸入到耦接于過(guò)濾器120的分類(lèi)器130�����,分類(lèi)器130根據(jù)已有分類(lèi)模型的訓(xùn)練樣本集�,對(duì)從過(guò)濾器120新輸入指分類(lèi)器130的命令進(jìn)行分類(lèi)��,至少識(shí)別出異常命令和正常命令�。
[0047]分類(lèi)器130可以包括第一切分模塊1302,第一切分模塊1302對(duì)從過(guò)濾器120新輸入至分類(lèi)器130的命令切分為若干特征詞,獲得該命令包含的各特征詞��,切分的過(guò)程中����,可以使用正則表達(dá)式工具���,例如利用正則表達(dá)式:
[0048][_\$] * [a-zA-Z\d\._\_] + [` \w\ (/; =\_\) \[\]\{\}: >&\?\.\\\s, \d’ 〃\%〈] *
[0049]將輸入的命令進(jìn)行切分�����,獲的輸入命令中包含的各特征詞��。如利用上述正則表達(dá)式對(duì)輸入的命令:
[0050]wget-o http://www.sina.com/dasd/hahah/tad.tgz/usr/loca/dasd/etc/passwd
[0051]進(jìn)行切分時(shí)�����,可以獲得如下特征詞集合:
[0052]{��,wget' ,���,-O��,,���,http,,����,www.sina.com,,,dasd���,,�����,hahah�����,,��,tad.tgz�,,��,usr��,,��,1ca�,,,dasd����,,,etc���,,���,passwd,,�����,www�,,,sina����,,,com���,}
[0053]此外��,還可以使 用正則表達(dá)式:
[0054]((\w+\.){1, 6}(?:net|cn|com|gov|edu|asia|me|co))[0055]識(shí)別命令中的網(wǎng)址��。
[0056]分類(lèi)器130通過(guò)先驗(yàn)獲取模塊1304��,獲取在已有分類(lèi)模型的訓(xùn)練樣本集中��、當(dāng)一條命令是異常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P (wn I y2),和當(dāng)一條命令是正常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(W1Jy1),以及在已有訓(xùn)練樣本集中出現(xiàn)異常命令的先驗(yàn)概率p(y2)和出現(xiàn)正常命令的先驗(yàn)概率P(yi)�����,再通過(guò)概率分析模塊1306根據(jù)過(guò)濾器120輸入的命令中包含的各特征詞�����,以及與各特征詞相關(guān)的先驗(yàn)概率���,獲得所輸入的命令分別為異常命令的概率和正常命令的概率�。進(jìn)而通過(guò)類(lèi)別識(shí)別模塊1308��,根據(jù)命令是異常命令的概率和正常命令的概率���,識(shí)別輸入的命令所屬的類(lèi)別�����,所識(shí)別出的類(lèi)別��,至少包括異常命令和正常命令兩類(lèi)�。在一些應(yīng)用環(huán)境中���,還需要識(shí)別輸入的命令是否為其他的類(lèi)別�,例如是否為未知命令,進(jìn)而對(duì)未知命令進(jìn)行及時(shí)處理����,此時(shí)在該用于監(jiān)控命令是否異常的設(shè)備中�����,先驗(yàn)獲取模塊1304還可以獲取在已有分類(lèi)模型的訓(xùn)練樣本集中�����、當(dāng)一條命令是未知命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(W1Jy3)��,以及在已有訓(xùn)練樣本集中出現(xiàn)未知命令的先驗(yàn)概率P (y3);概率分析模塊1306則獲得輸入的命令是未知命令的概率���;以及類(lèi)別識(shí)別模塊1308來(lái)識(shí)別輸入的命令是否屬于未知命令的類(lèi)別�。類(lèi)別識(shí)別模塊的識(shí)別命令所屬類(lèi)別的過(guò)程可以根據(jù)實(shí)際需要��,以及分類(lèi)器130的實(shí)現(xiàn)方式的不同而不同�,如當(dāng)概率分析模塊1306獲取命令分別為異常命令的概率和正常命令的概率時(shí),可以對(duì)根據(jù)獲取到的概率是否符合預(yù)置的要求識(shí)別命令所屬類(lèi)別�,例如可以預(yù)置命令屬于正常命令的概率閾值為
0.85���,屬于異常命令的概率閾值為0.5,這樣�����,如果獲得輸入命令的屬于正常命令的概率超過(guò)0.85���,類(lèi)別識(shí)別模塊1308可以將屬于正常命令的概率高于0.85的命令識(shí)別為正常命令����,將屬于異常命令的概率高于0.5的命令識(shí)別為異常命令���。對(duì)于未知命令�,也可以采取類(lèi)似的方式識(shí)別�����,此外還可以將即不屬于正常命令���,也不屬于異常命令的輸入命令�,識(shí)別為未知命令��。
[0057]分類(lèi)器130可以是基于貝葉斯原理、或費(fèi)舍爾原理�����、或決策樹(shù)原理�、或邏輯回歸原理、或偏最小二乘法P s L原理實(shí)現(xiàn)的分類(lèi)器���。分類(lèi)器130的實(shí)現(xiàn)原理可以是根據(jù)已有訓(xùn)練樣本集學(xué)習(xí)訓(xùn)練,產(chǎn)生分類(lèi)模型���;進(jìn)而利用分類(lèi)模型對(duì)輸入的當(dāng)前命令進(jìn)行判斷���。具體可以利用分類(lèi)器130中的先驗(yàn)獲取模塊1304來(lái)根據(jù)輸入的命令所包含的各特征,以及與各特征相關(guān)的先驗(yàn)概率���,基于貝葉斯原理或費(fèi)舍爾原理�,獲得輸入命令是異常命令的概率��,和該命令是正常命令的概率�,然后再根據(jù)獲得的各個(gè)概率,確定輸入的命令屬于異常命令或正常命令��。下面以基于貝葉斯原理實(shí)現(xiàn)分類(lèi)器130,以及通過(guò)先驗(yàn)獲取模塊1304�����,根據(jù)命令所包含的各特征以及與各特征相關(guān)的先驗(yàn)概率����,基于貝葉斯原理獲得輸入的命令是異常命令的概率和該命令是正常命令的概率的過(guò)程進(jìn)行詳細(xì)的介紹。
[0058]貝葉斯分類(lèi)方法是一種統(tǒng)計(jì)分類(lèi)方法��,它是一類(lèi)利用概率統(tǒng)計(jì)進(jìn)行分類(lèi)的算法�����。在許多應(yīng)用中���,樸素貝葉斯分類(lèi)法都可以獲取非常準(zhǔn)確的分類(lèi)結(jié)果���,且貝葉斯分類(lèi)方法本身還具有易于實(shí)現(xiàn)、分類(lèi)準(zhǔn)確率高��、速度快的特點(diǎn)�����,貝葉斯分類(lèi)方法的原理是通過(guò)對(duì)象的先驗(yàn)概率,利用貝葉斯公式計(jì)算出其后驗(yàn)概率����,即該對(duì)象屬于某一類(lèi)的概率,選擇具有最大后驗(yàn)概率的類(lèi)作為該對(duì)象所屬的類(lèi)����。本發(fā)明實(shí)施例中,分類(lèi)器130可以利用貝葉斯分類(lèi)方法來(lái)實(shí)現(xiàn)對(duì)當(dāng)前命令是否異常命令進(jìn)行識(shí)別�����,下面對(duì)該實(shí)現(xiàn)的過(guò)程進(jìn)行詳細(xì)的介紹�����。
[0059]首先可以根據(jù)第一切分模塊1302對(duì)的命令進(jìn)行切分���,獲得該命令包含的各特征詞,并利用先驗(yàn)獲取模塊��,獲取所需的各先驗(yàn)概率包括:當(dāng)一條命令是異常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P (wn |y2),和當(dāng)一條命令是正常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(Wn|y1),以及在已有訓(xùn)練樣本集中出現(xiàn)異常命令的先驗(yàn)概率P(y2)和出現(xiàn)正常命令的先驗(yàn)概率p(yi)����。需要說(shuō)明的是�,通常情況下對(duì)一條命令進(jìn)行切分�,會(huì)得到該命令包含的多個(gè)特征詞,此時(shí)��,
[0060]設(shè)X={w1, W2, W3,…�����,wn}為該未知輸入的命令經(jīng)過(guò)分詞得到的特征詞集合��;
[0061]并設(shè)yHyfgood, y2=bad}為類(lèi)別集合,其中yfgood代表正常命令的分類(lèi)��,y2=bad代表異常命令的分類(lèi)���;
[0062]接下來(lái)需要獲得P (Y1|X)��、P (y2|X)��,其中P (Y1|X)表示在輸入的命令含有集合X中的各個(gè)特征詞時(shí)���,其屬于正常命令的概率,P(y2|x)表示在當(dāng)前命令含有集合X中的各個(gè)特征詞時(shí)��,其屬于異常命令的概率。然后比較P (yi |χ)與P(y2|x)的值����,根據(jù)比較的結(jié)果確定當(dāng)前命令的分類(lèi),例如取兩者之中數(shù)值較大者作為當(dāng)前命令的分類(lèi)����,或者在兩者的差值達(dá)到一定的閾值時(shí),將其中的較大者作為當(dāng)前命令的分類(lèi)�。下面來(lái)介紹如何獲取PG1 |χ)與P (y21 χ)的值。
[0063]根據(jù)貝葉斯分類(lèi)原理�,對(duì)P(y1|x)與P(y2|x)的值有如下獲取方法:
[0064]P (Y1 | χ) =P (χ| Y1) *P (Y1) /P (X)
[0065]P (y2| x) =P (χ | y2) *P (y2) /P (x)
[0066]其中P(x)對(duì)于yfgood和y2=bad兩個(gè)分類(lèi)來(lái)說(shuō)是相等的常數(shù),因此,只需獲取P (χ |y1*P(Y1)�,以及 P(x|y2)*P(y2)的值即可。
[0067]而其中正常命令出現(xiàn)的概率P(yi)����,以及異常命令出現(xiàn)的概率P(y2)���,可以根據(jù)已有訓(xùn)練樣本集中正常命令以及異常命令出現(xiàn)的頻率來(lái)確定����。例如在訓(xùn)練樣本集中一共采集了 4651629條命令����,而其中出現(xiàn)的異常命令有68440條�,則異常命令出現(xiàn)的概率P (y2)為:
[0068]68440/4651629 ^ 0.014713
[0069]而相應(yīng)的正常命令出現(xiàn)的概率則為P (y1) ≈(1-P (y2) ) =0.985287�����。
[0070]由于P (Xly1) =P ([W1, w2, w3,…���,wn] Iy1),且 W1, W2, W3,...�����,Wn 可以認(rèn)為是條件獨(dú)立的,可以將 Pdw1, w2�,W3,..., wn] |y1)分解為:
[0071 ] P (W11 Y1) *P (W21 Y1) *P (w31 Y1) *...*P (wn | Y1)
[0072]而其中P(W1 Iy1) ,P(W2Iy1) ,P(W3Iy1),…��,P(W1Jy1)各項(xiàng),表示在集合χ中各特征詞在正常命令里出現(xiàn)的概率����,這些項(xiàng)所代表的概率數(shù)值,可以通過(guò)訓(xùn)練樣本集中正常命令中出現(xiàn)目標(biāo)特征詞的概率統(tǒng)計(jì)出來(lái)���。P(x|y2)的獲取原理與PUIy1)的獲取方法類(lèi)似����,在此不再贅述。需要說(shuō)明的是在獲取P(W1 Iy1) ,P(W2Iy1) ,P(W3Iy1),…�,P(W1Jy1)各項(xiàng)的乘積時(shí),由于其中各項(xiàng)的數(shù)值都屬于(0�����,I)區(qū)間���,導(dǎo)致各項(xiàng)連乘后得到的結(jié)果經(jīng)常趨近于0��,甚至由于超出了計(jì)算機(jī)能夠表達(dá)的浮點(diǎn)數(shù)范圍精度�,導(dǎo)致可能計(jì)算結(jié)果等于0�,此時(shí)可選的,還可以將:
[0073]P (W11 Y1) *P (w21 Y1) *P (w31 Y1) *…*P (wn Iy1)轉(zhuǎn)化為對(duì)數(shù)和的形式����,例如轉(zhuǎn)化為:
【權(quán)利要求】
1.一種用于監(jiān)控命令是否異常的設(shè)備,包括: 接收器�,被配置為接收受監(jiān)控的命令; 過(guò)濾器����,被配置為對(duì)所述接收的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾�,將被所述可疑規(guī)則命中的命令輸入分類(lèi)器����;以及 分類(lèi)器����,被配置為根據(jù)已有分類(lèi)模型的訓(xùn)練樣本集,對(duì)從所述過(guò)濾器新輸入至分類(lèi)器的命令進(jìn)行分類(lèi)����,至少識(shí)別出異常命令和正常命令。
2.如權(quán)利要求1所述的設(shè)備���,所述分類(lèi)器包括: 第一切分模塊����,被配置為將從所述過(guò)濾器新輸入至分類(lèi)器的命令切分為若干特征詞����,獲得該命令包含的各特征詞; 先驗(yàn)獲取模塊�,被配置為獲取在已有分類(lèi)模型的訓(xùn)練樣本集中、當(dāng)一條命令是異常命令時(shí)其包含某一特征詞wn的先驗(yàn)概率P(WnIy2)��,和當(dāng)一條命令是正常命令時(shí)其包含某一特征詞wn的先驗(yàn)概率�?(^|71)��,以及在已有訓(xùn)練樣本集中出現(xiàn)異常命令的先驗(yàn)概率�?(72)和出現(xiàn)正常命令的先驗(yàn)概率P (Y1)����; 概率分析模塊,被配置為根據(jù)所述命令包含的各特征詞�����,以及與所述各特征詞相關(guān)的先驗(yàn)概率�����,獲得所述命令分別為異常命令的概率和正常命令的概率��;以及 類(lèi)別識(shí)別模塊�,被配置為至少根據(jù)所述命令是異常命令的概率和正常命令的概率,識(shí)別所述命令所屬類(lèi)別����,所述類(lèi)別至少包括異常命令和正常命令兩類(lèi)。
3.如權(quán)利要求2所述的設(shè)備: 所述先驗(yàn)獲取模塊還被配置為獲取在已有分類(lèi)模型的訓(xùn)練樣本集中�����、當(dāng)一條命令是未知命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(W1Jy3)���,以及在已有訓(xùn)練樣本集中出現(xiàn)未知命令的先驗(yàn)概率P (y3); 所述概率分析模塊還被配置為獲得所述命令是未知命令的概率��;以及 所述類(lèi)別識(shí)別模塊還被配置為識(shí)別所述命令是否屬于未知命令的類(lèi)別��。
4.如權(quán)利要求2或3所述的設(shè)備�����, 所述概率分析模塊具體被配置為根據(jù)命令所包含的各特征�����,以及與所述各特征相關(guān)的先驗(yàn)概率����,基于貝葉斯原理或費(fèi)舍爾原理獲得所述命令是異常命令的概率和該命令是正常命令的概率��。
5.如權(quán)利要求1所述的設(shè)備�,所述分類(lèi)器具體被配置為基于貝葉斯原理或費(fèi)舍爾原理或決策樹(shù)原理或邏輯回歸原理或偏最小二乘法P sL原理的分類(lèi)器。
6.一種用于監(jiān)控命令是否異常的方法���,包括: 接收受監(jiān)控的命令�����; 對(duì)所述受監(jiān)控的命令采用預(yù)置的可疑規(guī)則進(jìn)行過(guò)濾��,獲得被所述可疑規(guī)則命中的命令����; 根據(jù)已有分類(lèi)模型的訓(xùn)練樣本集,對(duì)被所述可疑規(guī)則命中的命令進(jìn)行分類(lèi)��,至少識(shí)別出異常命令和正常命令�。
7.如權(quán)利要求6所述的方法,所述對(duì)被可疑規(guī)則命中的命令進(jìn)行分類(lèi)的步驟包括: 將所述命令切分為若干特征詞���,獲得該命令包含的各特征詞���; 獲取在已有分類(lèi)模型的訓(xùn)練樣本集中、當(dāng)一條命令是異常命令時(shí)其包含某一特征詞wn的先驗(yàn)概率P(WnIy2)���,和當(dāng)一條命令是正常命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(WnIy1),以及在已有訓(xùn)練樣本集中出現(xiàn)異常命令的先驗(yàn)概率P(y2)和出現(xiàn)正常命令的先驗(yàn)概率P (Y1); 根據(jù)所述命令包含的各特征詞����,以及與所述各特征詞相關(guān)的先驗(yàn)概率,獲得所述命令分別為異常命令的概率和正常命令的概率���;以及 至少根據(jù)所述命令是異常命令的概率和正常命令的概率����,識(shí)別所述命令所屬類(lèi)別�,所述類(lèi)別至少包括異常命令和正常命令兩類(lèi)��。
8.如權(quán)利要求7所述的方法�����,還包括: 獲取在已有分類(lèi)模型的訓(xùn)練樣本集中�����、當(dāng)一條命令是未知命令時(shí)其包含某一特征詞Wn的先驗(yàn)概率P(wn|y3)��,以及在已有訓(xùn)練樣本集中出現(xiàn)未知命令的先驗(yàn)概率P(y3)���; 獲得所述命令是未知命令的概率�;以及 至少根據(jù)所述命令是未知命令的概率�����,識(shí)別所述命令是否屬于未知命令的類(lèi)別。
9.如權(quán)利要求7或8所述的方法���,所述獲得命令分別為異常命令的概率和正常命令的概率的步驟包括:基于貝葉斯原理或費(fèi)舍爾原理獲得所述命令是異常命令的概率和該命令是正常命令的概率�。
10.如權(quán)利要求6-9中任一項(xiàng)所述的方法�,還包括: 將進(jìn)行過(guò)分類(lèi)的命令與已有訓(xùn)練樣本集合并后進(jìn)行機(jī)器學(xué)習(xí),更新進(jìn)行分類(lèi)時(shí)使用的已有訓(xùn)練樣 本集��。
【文檔編號(hào)】H04L12/26GK103516563SQ201310492736
【公開(kāi)日】2014年1月15日 申請(qǐng)日期:2013年10月18日 優(yōu)先權(quán)日:2013年10月18日
【發(fā)明者】張卓, 楊卿, 劉小雄, 李洪亮 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司