[发明专利]一种用于监控命令是否异常的设备和方法有效
| 申请号: | 201310492736.0 | 申请日: | 2013-10-18 |
| 公开(公告)号: | CN103516563A | 公开(公告)日: | 2014-01-15 |
| 发明(设计)人: | 张卓;杨卿;刘小雄;李洪亮 | 申请(专利权)人: | 北京奇虎科技有限公司;奇智软件(北京)有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26 |
| 代理公司: | 北京华沛德权律师事务所 11302 | 代理人: | 刘杰 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 用于 监控 命令 是否 异常 设备 方法 | ||
1.一种用于监控命令是否异常的设备,包括:
接收器,被配置为接收受监控的命令;
过滤器,被配置为对所述接收的命令采用预置的可疑规则进行过滤,将被所述可疑规则命中的命令输入分类器;以及
分类器,被配置为根据已有分类模型的训练样本集,对从所述过滤器新输入至分类器的命令进行分类,至少识别出异常命令和正常命令。
2.如权利要求1所述的设备,所述分类器包括:
第一切分模块,被配置为将从所述过滤器新输入至分类器的命令切分为若干特征词,获得该命令包含的各特征词;
先验获取模块,被配置为获取在已有分类模型的训练样本集中、当一条命令是异常命令时其包含某一特征词wn的先验概率P(wn|y2),和当一条命令是正常命令时其包含某一特征词wn的先验概率P(wn|y1),以及在已有训练样本集中出现异常命令的先验概率P(y2)和出现正常命令的先验概率P(y1);
概率分析模块,被配置为根据所述命令包含的各特征词,以及与所述各特征词相关的先验概率,获得所述命令分别为异常命令的概率和正常命令的概率;以及
类别识别模块,被配置为至少根据所述命令是异常命令的概率和正常命令的概率,识别所述命令所属类别,所述类别至少包括异常命令和正常命令两类。
3.如权利要求2所述的设备:
所述先验获取模块还被配置为获取在已有分类模型的训练样本集中、当一条命令是未知命令时其包含某一特征词wn的先验概率P(wn|y3),以及在已有训练样本集中出现未知命令的先验概率P(y3);
所述概率分析模块还被配置为获得所述命令是未知命令的概率;以及
所述类别识别模块还被配置为识别所述命令是否属于未知命令的类别。
4.如权利要求2或3所述的设备,
所述概率分析模块具体被配置为根据命令所包含的各特征,以及与所述 各特征相关的先验概率,基于贝叶斯原理或费舍尔原理获得所述命令是异常命令的概率和该命令是正常命令的概率。
5.如权利要求1所述的设备,所述分类器具体被配置为基于贝叶斯原理或费舍尔原理或决策树原理或逻辑回归原理或偏最小二乘法PSL原理的分类器。
6.一种用于监控命令是否异常的方法,包括:
接收受监控的命令;
对所述受监控的命令采用预置的可疑规则进行过滤,获得被所述可疑规则命中的命令;
根据已有分类模型的训练样本集,对被所述可疑规则命中的命令进行分类,至少识别出异常命令和正常命令。
7.如权利要求6所述的方法,所述对被可疑规则命中的命令进行分类的步骤包括:
将所述命令切分为若干特征词,获得该命令包含的各特征词;
获取在已有分类模型的训练样本集中、当一条命令是异常命令时其包含某一特征词wn的先验概率P(wn|y2),和当一条命令是正常命令时其包含某一特征词wn的先验概率P(wn|y1),以及在已有训练样本集中出现异常命令的先验概率P(y2)和出现正常命令的先验概率P(y1);
根据所述命令包含的各特征词,以及与所述各特征词相关的先验概率,获得所述命令分别为异常命令的概率和正常命令的概率;以及
至少根据所述命令是异常命令的概率和正常命令的概率,识别所述命令所属类别,所述类别至少包括异常命令和正常命令两类。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司;奇智软件(北京)有限公司,未经北京奇虎科技有限公司;奇智软件(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310492736.0/1.html,转载请声明来源钻瓜专利网。
