[发明专利]一种用于监控命令是否异常的设备和方法

说明书

技术领域

本发明涉及计算机技术领域，特别是涉及一种用于监控命令是否异常的设备和方法。

背景技术

随着网络的快速发展，出现了需要为大量用户服务的网络系统。这些网络系统通常分布于大量的服务器之上，同时这些服务器通常构建为集群的方式来为用户服务。随着提供服务的服务器越来越多，如何对这些服务器进行监控成为了目前需要迫切解决的问题。

例如，有些管理员可以在某些服务器上进行操作，但是，这些管理员可能不十分了解这些服务器上提供的服务，所以这些操作命令可能会导致服务器不能正常工作、甚至造成严重后果。另外，随着服务器的增多，有些服务器可能会被黑客所侵入，这些黑客就可能执行一些恶意操作来破坏服务器的正常运行。

当然上述情况不仅仅存在于服务器，还可能存在于其他类似的设备上。因此，如何对服务器等设备上执行的命令是否为异常命令，做出较为准确的判断、并且尽量少的误报是目前急需解决的问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用于监控命令是否异常的设备和相应的用于监控命令是否异常的设备方法。

可选的，本发明实施例提供一种用于监控命令是否异常的设备，包括：接收器，被配置为接收受监控的命令；过滤器，被配置为对所述接收的命令采用预置的可疑规则进行过滤，将被所述可疑规则命中的命令输入分类器；以及分类器，被配置为根据已有分类模型的训练样本集，对从所述过滤器新输入至分类器的命令进行分类，至少识别出异常命令和正常命令。

可选的，所述分类器包括：第一切分模块，被配置为将从所述过滤器新输入至分类器的命令切分为若干特征词，获得该命令包含的各特征词；先验获取模块，被配置为获取在已有分类模型的训练样本集中、当一条命令是异常命令时其包含某一特征词w_n的先验概率P(w_n|y₂)，和当一条命令是正常命令时其包含某一特征词w_n的先验概率P(w_n|y₁)，以及在已有训练样本集中出现异常命令的先验概率P(y₂)和出现正常命令的先验概率P(y₁)；概率分析模块，被配置为根据所述命令包含的各特征词，以及与所述各特征词相关的先验概率，获得所述命令分别为异常命令的概率和正常命令的概率；以及类别识别模块，被配置为至少根据所述命令是异常命令的概率和正常命令的概率，识别所述命令所属类别，所述类别至少包括异常命令和正常命令两类。

可选的，所述先验获取模块还被配置为获取在已有分类模型的训练样本集中、当一条命令是未知命令时其包含某一特征词w_n的先验概率P(w_n|y₃)，以及在已有训练样本集中出现未知命令的先验概率P(y₃)；所述概率分析模块还被配置为获得所述命令是未知命令的概率；以及所述类别识别模块还被配置为识别所述命令是否属于未知命令的类别。

可选的，所述概率分析模块具体被配置为根据命令所包含的各特征，以及与所述各特征相关的先验概率，基于贝叶斯原理或费舍尔原理获得所述命令是异常命令的概率和该命令是正常命令的概率。

可选的，所述分类器具体被配置为基于贝叶斯原理或费舍尔原理或决策树原理或逻辑回归原理或偏最小二乘法ＰＳＬ原理的分类器。

可选的，还包括：学习器，被配置为至少将经所述分类器进行过分类的命令与已有训练样本集合并后进行机器学习，更新所述分类器使用的已有训练样本集。

可选的，所述学习器具体包括：合并模块，被配置为至少将经所述分类器进行过分类的命令合并至已有分类模型的训练样本集；第二切分模块，被配置为将所述训练样本集中的各命令切分为若干特征词；分类标记模块，被配置为对所述训练样本集中的命令标记分类结果，所述分类结果至少包括异常命令和正常命令两类；以及建模模块，统计在相应类别中每个特征词的概率分布和命令所属类别的概率分布，建立分类模型，为所述分类器提供所需的先验概率。

可选的，所述分类标记模块在根据所述过滤器和/或分类器的输出结果为所述各命令标记分类结果之外，还被配置为对所述标记的分类结果进行修正。

可选的，还包括：告警器，被配置为至少根据所述分类器输出的结果确定是否进行告警提示。