CN110008462B - 一种命令序列检测方法及命令序列处理方法 - Google Patents
一种命令序列检测方法及命令序列处理方法 Download PDFInfo
- Publication number
- CN110008462B CN110008462B CN201810011519.8A CN201810011519A CN110008462B CN 110008462 B CN110008462 B CN 110008462B CN 201810011519 A CN201810011519 A CN 201810011519A CN 110008462 B CN110008462 B CN 110008462B
- Authority
- CN
- China
- Prior art keywords
- sequence
- entity
- command
- command sequence
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
- G06F40/221—Parsing markup language streams
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/253—Grammatical analysis; Style critique
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/289—Phrasal analysis, e.g. finite state techniques or chunking
- G06F40/295—Named entity recognition
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Data Mining & Analysis (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种命令序列检测方法及命令序列处理方法;上述命令序列检测方法,包括:对命令序列进行语法解析和命名实体识别,得到命令序列对应的第一实体序列;其中,命令序列包括一个或多个命令;确定第一实体序列与至少一个基线的匹配结果;其中,基线中记录有通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列;根据匹配结果,确定命令序列所属的类别。如此,能够提高命令序列的识别率和检测效果。
Description
技术领域
本申请涉及但不限于数据处理领域,尤其涉及一种命令序列检测方法及命令序列处理方法。
背景技术
目前,命令检测大多基于字符特征进行规则识别,使用的上下文信息仅限于父子进程和执行路径等。比如,提取命令里的一些关键词作为依据,以cmd执行路径是:C:/Windows/SysWOW64/cmd.exe为例,其中包含关键词SysWOW64,且执行了wget(下载)等命令,则认为是恶意命令的强特征。然而,上述方式对于一些变种的恶意命令,检测效果不佳。比如,对cmd或者wget进行了重命名,由于传统规则中没有定义重命名后的cmd或者wget的字符特征,因此命中不到重命名后的恶意命令,导致无法检测出变种的恶意命令。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
本申请实施例提供一种命令序列检测方法及命令序列处理方法,能够提高命令序列的识别率和检测效果。
第一方面,本申请实施例提供一种命令序列检测方法,包括:
对命令序列进行语法解析和命名实体识别,得到所述命令序列对应的第一实体序列;其中,所述命令序列包括一个或多个命令;
确定所述第一实体序列与至少一个基线的匹配结果;其中,所述基线中记录有通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列;
根据所述匹配结果,确定所述命令序列所属的类别。
在示例性实施方式中,所述对命令序列进行语法解析和命名实体识别,得到所述命令序列对应的第一实体序列,可以包括:
将所述命令序列中的任一命令解析为语法树;
对所述命令序列对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到所述命令序列对应的第一实体序列。
在示例性实施方式中,上述方法还可以包括:通过以下方式建立所述基线:
将所述命令序列样本中的任一命令解析为语法树;
对所述命令序列样本对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到所述命令序列样本对应的第三实体序列;
从所述命令序列样本对应的第三实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列,在所述基线中记录得到的所述第二实体序列以及所述第二实体序列的出现次数;其中,N为正整数。
在示例性实施方式中,所述在所述基线中记录得到的所述第二实体序列以及所述第二实体序列的出现次数之后,上述方法还可以包括:删除所述基线中出现次数小于或等于次数阈值的第二实体序列。
在示例性实施方式中,所述确定所述第一实体序列与至少一个基线的匹配结果,可以包括:
从所述第一实体序列中的第一个实体开始依次将N个连续实体分别作为一个第四实体序列,确定所述第一实体序列中第四实体序列的总数目;
确定与所述基线内的第二实体序列匹配的第四实体序列的数目,作为第一数目;
计算所述第一数目与所述总数目的比值,作为所述第一实体序列与所述基线的匹配结果。
在示例性实施方式中,所述根据所述匹配结果,确定所述命令序列所属的类别,可以包括:
若所述匹配结果大于或等于第一阈值,则确定所述命令序列属于所述基线指示的类别;
若所述匹配结果小于所述第一阈值,则确定所述命令序列不属于所述基线指示的类别。
在示例性实施方式中,所述基线包括第一基线以及第二基线;所述第一基线中记录有用于指示第一类别的一组第二实体序列,所述第二基线中记录有用于指示第二类别的一组第二实体序列;
所述确定所述第一实体序列与至少一个基线的匹配结果,可以包括:
从所述第一实体序列中的第一个实体开始依次获取N个连续实体分别作为一个第四实体序列,确定所述第一实体序列中的第四实体序列的总数目;
确定与所述第一基线内的第二实体序列匹配的第四实体序列的数目,作为第二数目,以及确定与所述第二基线内的第二实体序列匹配的第四实体序列的数目,作为第三数目;
计算所述第二数目与所述总数目的比值,作为所述第一实体序列与所述第一基线的匹配结果;以及计算所述第三数目与所述总数目的比值,作为所述第一实体序列与所述第二基线的匹配结果。
在示例性实施方式中,所述根据所述匹配结果,确定所述命令序列所属的类别,可以包括:
若所述第一实体序列与所述第一基线的匹配结果大于或等于第二阈值,则确定所述命令序列属于所述第一基线指示的第一类别;
若所述第一实体序列与所述第二基线的匹配结果大于或等于第三阈值,则确定所述命令序列属于所述第二基线指示的第二类别;
若所述第一实体序列与所述第一基线的匹配结果小于所述第二阈值,且与所述第二基线的匹配结果小于所述第三阈值,则根据设定规则,确定所述命令序列所属的类别。
在示例性实施方式中,所述第一类别为恶意命令序列,所述第二类别为非恶意命令序列;或者,所述第一类别为非恶意命令序列,所述第二类别为恶意命令序列。
在示例性实施方式中,所述类别包括:恶意命令序列和非恶意命令序列,则所述确定所述命令序列所属的类别之后,上述方法还可以包括:
若所述命令序列属于非恶意命令序列,则执行所述命令序列;
若所述命令序列属于恶意命令序列,则标记出所述命令序列,并发出告警消息。
在示例性实施方式中,所述识别的命名实体可以包括以下至少之一:设定类型的命令、管道符、命令连接符、单一选项、多选项、网络协议参数、路径参数、统一资源定位符参数、命令终止符。
第二方面,本申请实施例提供一种命令序列处理方法,包括:
将命令序列中的至少一个命令解析为语法树;
基于所述语法树,进行命名实体识别,得到所述命令序列对应的第一实体序列。
在示例性实施方式中,所述基于所述语法树,进行命名实体识别,得到所述命令序列对应的第一实体序列,可以包括:
对所述语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到所述命令序列对应的第一实体序列。
在示例性实施方式中,所述识别的命名实体可以包括以下至少之一:设定类型的命令、管道符、命令连接符、单一选项、多选项、网络协议参数、路径参数、统一资源定位符参数、命令终止符。
在示例性实施方式中,所述得到所述命令序列对应的第一实体序列之后,上述方法还可以包括:
从所述第一实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列;
记录所述第二实体序列以及所述第二实体序列的出现次数;其中,N为正整数。
在示例性实施方式中,N的取值可以为4、5或6。
第三方面,本申请实施例提供一种交互方法,包括:
提供一种交互界面,所述交互界面至少包括以下之一:命令序列显示区域、命令序列对应的语法树的显示区域、基于语法树的命名实体识别结果的显示区域、基线显示区域、命令序列的检测结果显示区域;
其中,所述基线显示区域用于显示通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列。
第四方面,本申请实施例提供一种命令序列检测方法,包括:
接收命令序列,其中,所述命令序列包括一个或多个命令;
获取所述命令序列对应的对象序列,其中,所述对象序列包括一个或多个对象;
根据所述对象序列,确定所述命令序列所属的类别。
在示例性实施方式中,所述对象可以包括以下至少之一:命令类型、参数、命令符号。
在示例性实施方式中,所述获取所述命令序列对应的对象序列,可以包括:对所述命令序列进行语法解析和命名实体识别处理,得到所述命令序列对应的对象序列。
在示例性实施方式中,所述类别包括恶意命令序列和非恶意命令序列,则所述确定所述命令序列所属的类别之后,上述方法还可以包括:
若所述命令序列属于非恶意命令序列,则执行所述命令序列;
若所述命令序列属于恶意命令序列,则标记出所述命令序列,并发出告警消息。
此外,本申请实施例提供一种计算设备,包括:第一存储器和第一处理器,所述第一存储器适于存储命令序列检测程序,所述命令序列检测程序被所述第一处理器执行时实现如上述第一方面或第四方面提供的命令序列检测方法的步骤。
此外,本申请实施例提供一种计算设备,包括:第二存储器和第二处理器,所述第二存储器适于存储命令序列处理程序,所述命令序列处理程序被所述第二处理器执行时实现如上述第二方面提供的命令序列处理方法的步骤。
此外,本申请实施例提供一种计算机可读介质,存储有命令序列检测程序,所述命令序列检测程序被处理器执行时实现如上述第一方面或第四方面提供的命令序列检测方法的步骤。
此外,本申请实施例提供一种计算机可读介质,存储有命令序列处理程序,所述命令序列处理程序被处理器执行时实现如上述第二方面提供的命令序列处理方法的步骤。
在本申请实施例中,接收命令序列,获取命令序列对应的对象序列,根据对象序列,确定命令序列所属的类别。通过将命令序列转换得到对象序列,增加命令序列的区分度,以提升命令序列的检测效果,提高识别率。
在本申请实施例中,对命令序列进行语法解析和命名实体识别,得到命令序列对应的第一实体序列;其中,命令序列包括一个或多个命令;确定第一实体序列与至少一个基线的匹配结果;根据匹配结果,确定命令序列所属的类别;其中,基线中记录有通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列。本申请实施例中,通过结合语法解析和命名实体识别,丰富了语法解析结果的实体语义,从而增加了命令序列的区分度,进而提升命令序列的检测效果。而且,将语法解析和命名实体识别后得到的实体,按照前后连续的序列方式进行存储,从而完整地保留了上下文,提高了识别率。
当然,实施本申请的任一产品并不一定需要同时达到以上所有优点。
附图说明
图1为本申请实施例提供的命令序列检测方法的流程图;
图2为本申请实施例提供的第一实体序列的生成示例图;
图3为本申请实施例提供的命令序列处理方法的流程图;
图4为本申请实施例提供的命令序列检测装置的示意图;
图5为本申请实施例提供的命令序列处理装置的示意图;
图6为本申请实施例提供的另一命令序列检测方法的流程图;
图7为本申请实施例提供的一种计算设备的示意图。
具体实施方式
以下结合附图对本申请实施例进行详细说明,应当理解,以下所说明的实施例仅用于说明和解释本申请,并不用于限定本申请。
需要说明的是,如果不冲突,本申请实施例以及实施例中的各个特征可以相互结合,均在本申请的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
一些实施方式中,执行命令序列检测方法或命令序列处理方法的计算设备可包括一个或多个处理器(CPU,Central Processing Unit)、输入/输出接口、网络接口和内存(memory)。
内存可能包括计算机可读介质中的非永久性存储器、随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。内存可能包括模块1,模块2,……,模块N(N为大于2的整数)。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM),快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
下面先对本申请涉及的概念进行说明。
抽象语法树(AST,Abstract Syntax Tree),又称为语法树,是源代码的抽象语法结构的树状表现形式,这里特指编程语言的源代码。
会话(Session)记录指用户登录主机直到第一次退出的这段时间内的操作记录。
命名实体识别(NER,Named Entity Recognition)是指识别文本中具有特定意义的对象,比如包括人名、地名、机构名、专有名词等。
实体是可相互区分的对象,比如,命令类型、参数等。
实体序列是按顺序排列的一组实体。
基线是用于指示特定类别的一组实体序列的快照。
本申请实施例提供一种命令序列检测方法及命令序列处理方法,基于结合语法解析和命名实体识别得到的实体序列,能够提高命令序列的识别率和检测效果。
图1为本申请实施例提供的命令序列检测方法的流程图。如图1所示,本实施例提供的命令序列检测方法,包括:
S101、对命令序列进行语法解析和命名实体识别,得到命令序列对应的第一实体序列;其中,命令序列包括一个或多个命令;
S102、确定第一实体序列与至少一个基线的匹配结果;其中,基线中记录有通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列;
S103、根据匹配结果,确定命令序列所属的类别。
本实施例提供的命令序列检测方法可以由客户端计算设备(比如,便携式电脑等移动终端、台式电脑等固定终端)或者由服务端计算设备(比如,云端的服务器等)执行。然而,本申请对此并不限定。
示例性地,客户端计算设备收集客户的会话记录日志,然后进行简单处理后汇总到云端的服务器,云端的服务器可以执行本实施例提供的命名序列检测方法,以对命令序列进行分类,例如,检测出恶意的命令序列。其中,云端的服务器检测到恶意的命令序列之后,可以定位到存在恶意命令序列的客户,并向该客户对应的客户端计算设备发送检测到的恶意命令序列,以便提醒客户注意。
示例性地,客户端计算设备收集客户的会话记录日志,然后执行本实施例提供的命名序列检测方法,以对命令序列进行分类,例如,检测本地是否存在恶意命令序列。其中,客户端计算设备检测到恶意命令序列之后,可以提醒客户注意,或者,可以将检测结果上报给服务端计算设备,以便后续其他处理。
在示例性实施方式中,以类别包括恶意命令序列和非恶意命令序列为例,在S103之后,本实施例的方法还可以包括:
若命令序列属于非恶意命令序列,则执行该命令序列;
若命令序列属于恶意命令序列,则标记出该命令序列,并发出告警消息。
比如,客户端计算设备在检测出命令序列为非恶意命令序列后,可以正常执行该命令序列,若检测出命令序列为恶意命令序列,则可以标记出该命令序列,并在显示界面显示告警消息,提醒用户注意,或者,将检测到的恶意命令序列标记出并上报给服务端计算设备。然而,本申请对此并不限定。例如,在服务端计算设备检测出命令序列为恶意命令序列时,可以定位到上报该恶意命令序列的客户端计算设备,然后发送告警消息给该客户端计算设备;若服务端计算设备检测出命令序列为非恶意命令序列,则可以向上报该命令序列的客户端计算设备反馈操作安全消息。
本实施例中,命令序列可以包括按照命令执行时间排序的一个或多个命令。比如,云端服务器可以将汇总的会话记录日志,根据<主机网络协议(IP,Internet Protocol)地址、会话记录标识(Session ID)>进行归并;然后,针对任一主机IP地址和会话记录标识对应的命令,根据命令执行时间进行排序,形成一个会话记录内的命令序列。
在示例性实施方式中,S101可以包括:
将命令序列中的任一命令解析为语法树;
对该命令序列对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到该命令序列对应的第一实体序列。
在本示例中,命令序列中的任一命令通过语法树解析器处理,可以解析得到一棵语法树。若命令序列包括多个命令,则通过语法解析该命令序列,可以得到对应的多棵语法树,且这些语法树也可以按照对应的命令执行时间进行排序。
本示例中,语法树的叶子节点是任一命令中的一个词;比如,“ps-uf”,则“ps”和“-uf”分别是语法树里的两个叶子节点,且每个叶子节点具有自己的属性(即节点类型),在本例中,上述两个叶子节点分别被识别为命令叶子节点和选项叶子节点。
在本示例中,为了更好地区分命令之间的语法结构区别,通过命名实体识别可以对语法树产生的节点属性进一步细分。比如“ps-u”和“ps-uf”在抽象语法树看来是一种结构,但是通过命名实体识别可以区分“ps-u”是单选项的ps命令,而“ps-uf”是多选项的ps命令。比如,在语法树中,针对命令中的参数(比如,IP地址和路径)都是一串通用字符串,没有区别,但是通过命令实体识别可以丰富这些参数的语义,例如,通过命名实体识别可以将语法树中的参数进一步细化为IP参数、路径参数、统一资源定位符(URL,Uniform ResourceLocator)参数等。
本示例中定义的命名实体可以包括以下至少之一:设定类型的命令(比如,command_ps、command_curl等)、管道符(|)、命令连接符(&)、单一选项、多选项、IP参数(param_ip)、路径参数(param_path)、URL参数(param_url)、命令终止符(</s>)。然而,本申请对此并不限定。在实际应用中,可以根据实际应用场景的需求,定义合适的命名实体,以便给语法树中的叶子节点赋予适配实际应用场景的语义。
在本示例中,通过对命令序列对应的语法树中的全部叶子节点进行命名实体识别,可以将语法树的全部叶子节点抽象成一个实体序列(即第一实体序列)。每个语法树抽象得到的实体可以按照命令序列的命令执行顺序排序,从而得到实体序列,这个实体序列是跨命令的,即第一实体序列包括对应整个命令序列的全部实体。
图2为本申请实施例提供的第一实体序列的生成示例图。如图2所示,在本示例中,命令序列可以为:ps-uf;cat/proc/cpuinfo。即本示例的命令序列包括两个命令,对应可以得到两棵语法树。在将命令序列全部解析为语法树之后,进行命名实体识别。如图2所示,命名实体识别结果在语法树的叶子节点的附近显示。本示例中,命令序列对应的实体序列可以为:
command_ps ps_option_1</s>command_cat cat_param_path_1</s>
其中,在每个命令的结束位置添加命令终止符(</s>)。
在示例性实施方式中,本实施例的方法还可以包括:通过以下方式建立基线:
将命令序列样本中的任一命令解析为语法树;
对命令序列样本对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到命令序列样本对应的第三实体序列;
从命令序列样本对应的第三实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列,在基线中记录得到的第二实体序列以及第二实体序列的出现次数;其中,N为正整数。
示例性地,N的取值可以为4、5或6。然而,本申请对此并不限定。N的取值可以根据实际应用场景确定。
其中,基于命令序列样本得到第三实体序列的过程可以参照基于命令序列得到第一实体序列的过程,故于此不再赘述。
在本示例中,在得到一个命令序列样本对应的第三实体序列之后,为了基线能够记录实体序列的前后关系,可以从第三实体序列中的第一个实体开始依次将N个连续实体记录为一个第二实体序列。比如,若N的取值为5,且第三实体序列中包括实体1至实体20,则可以将实体1至实体5记录为第二实体序列a,将实体2至实体6记录为第二实体序列b,将实体3至实体7记录为第二实体序列c,以此类推,直至将实体16至实体20记录为一个第二实体序列。其中,基线中还记录每个第二实体序列的出现次数,在上例中,若第二实体序列a和第二实体序列b相同,则基线中记录第二实体序列a的出现次数为2,不再记录第二实体序列b。换言之,在基线中,相同的第二实体序列仅记录一个并以出现次数进行累计。
本示例中,以第二实体序列a和第二实体序列b为例,第二实体序列a比如包括以下实体:command_ps、单一选项、param_ip、&、command_curl,第二实体序列b比如也包括上述实体,且其中的实体顺序相同,则可以认为第二实体序列a和第二实体序列b为相同的实体序列。
在示例性实施方式中,在基线中记录得到的第二实体序列以及第二实体序列的出现次数之后,本实施例的方法还可以包括:删除基线中出现次数小于或等于次数阈值的第二实体序列。其中,次数阈值可以根据实际应用场景设定,本申请对此并不限定。
在本示例中,删除基线中出现次数较低的第二实体序列,保留出现次数较多的第二实体序列。然而,本申请对此并不限定。
在本示例中,基线可以基于对多个命令序列样本的处理结果建立;其中,针对任一命令序列样本可以得到一组第二实体序列,通过多组第二实体序列进行统计,得到最终的基线。
在一种示例性实施方式中,S102可以包括:
从第一实体序列中的第一个实体开始依次将N个连续实体分别作为一个第四实体序列,确定第一实体序列中第四实体序列的总数目;
确定与基线内的第二实体序列匹配的第四实体序列的数目,作为第一数目;
计算第一数目与总数目的比值,作为第一实体序列与该基线的匹配结果。
在本示例性实施方式中,S103可以包括:
若匹配结果大于或等于第一阈值,则确定命令序列属于该基线指示的类别;
若匹配结果小于第一阈值,则确定命令序列不属于该基线指示的类别。
其中,第一阈值可以根据实际应用场景设定。本申请对此并不限定。在本示例性实施方式中,通过命令序列对应的第一实体序列与一个基线的匹配结果,确定该命令序列所属的类别。其中,参照图2可知,以N为5为例,可以得到以下两个第四实体序列:
command_ps ps_option_1</s>command_cat cat_param_path_1
ps_option_1</s>command_cat cat_param_path_1</s>
然后,比对基线中是否存在与第四实体序列匹配的第二实体序列,根据匹配结果,确定命令序列所属的类别。
在本示例性实施方式中,建立基线所采用的命令序列样本可以为恶意命令序列,则基于这些命令序列样本建立的基线可以为用于指示恶意命令序列的基线。此时,若命令序列对应的第一实体序列与该基线的匹配结果较高,则可以确定命令序列为恶意命令序列,反之,确定命令序列为非恶意命令序列。
在另一示例性实施方式中,基线可以包括第一基线以及第二基线;第一基线中记录有用于指示第一类别的一组第二实体序列,第二基线中记录有用于指示第二类别的一组第二实体序列;
相应地,S102可以包括:
从第一实体序列中的第一个实体开始依次获取N个连续实体分别作为一个第四实体序列,确定第一实体序列中的第四实体序列的总数目;
确定与第一基线内的第二实体序列匹配的第四实体序列的数目,作为第二数目,以及确定与第二基线内的第二实体序列匹配的第四实体序列的数目,作为第三数目;
计算第二数目与总数目的比值,作为第一实体序列与第一基线的匹配结果;以及计算第三数目与总数目的比值,作为第一实体序列与第二基线的匹配结果。
在本示例性实施方式中,S103可以包括:
若第一实体序列与第一基线的匹配结果大于或等于第二阈值,则确定命令序列属于第一基线指示的第一类别;
若第一实体序列与第二基线的匹配结果大于或等于第三阈值,则确定命令序列属于第二基线指示的第二类别;
若第一实体序列与第一基线的匹配结果小于第二阈值,且与第二基线的匹配结果小于第三阈值,则根据设定规则,确定命令序列所属的类别。
其中,第二阈值(比如,90%)和第三阈值(比如,90%)可以根据实际应用场景设定。然而,本申请对此并不限定。
示例性地,设定规则可以包括:若第一实体序列与第一基线的匹配结果小于第二阈值,且与第二基线的匹配结果小于第三阈值,在第一实体序列与第一基线的匹配结果大于第一实体序列与第二基线的匹配结果,则确定命令序列属于第一基线指示的第一类别;在第一实体序列与第一基线的匹配结果小于第一实体序列与第二基线的匹配结果,则确定命令序列属于第二基线指示的第二类别。然而,本申请对此并不限定。在实际应用中,可以根据实际应用场景配置设定规则。
本示例性实施方式中,通过命令序列对应的第一实体序列与两个基线的匹配结果,确定该命令序列所属的类别。比如,第一类别为恶意命令序列,第二类别为非恶意命令序列;或者,第一类别为非恶意命令序列,第二类别为恶意命令序列。
综上所述,在本实施例中,针对语法解析后的叶子节点,做了适配命令检测的命名实体识别,丰富了叶子的语法,使得识别后的实体语义更加丰富,不同类别的命令之间的区分度更大;而且,将识别后的实体,以前后连续的序列方式存储为基线,可以记忆实体序列,比孤立地记忆实体更完整地保留了上下文,提高了识别率。在示例性实施方式中,可以采用语法树抽象词级别的特征,并用序列关联前后命令,通过执行顺序上下文来判定命令序列是否恶意。如此,本实施例可以发现字符或词顺序微调后可以绕过传统检测规则的变种命令,在一定程度上提升了检测效果。例如,黑客重命名了cmd或者wget,传统规则会命中不到此类恶意命令序列,但上述变种命令的语法表层并没有改变仍旧是恶意的,则通过抽象语法树的解析仍旧可以判定出恶意行为。
图3为本申请实施例提供的命令序列处理方法的流程图。如图3所示,本实施例提供的命令序列处理方法,包括:
S301、将命令序列中的至少一个命令解析为语法树;
S302、基于语法树,进行命名实体识别,得到命令序列对应的第一实体序列。
本实施例提供的命令序列处理方法可以由客户端计算设备(比如,便携式电脑等移动终端、台式电脑等固定终端)或者由服务端计算设备(比如,云端的服务器等)执行。然而,本申请对此并不限定。
示例性地,客户端计算设备收集客户的会话记录日志,然后进行简单处理后汇总到云端的服务器,云端的服务器可以执行本实施例提供的命名序列处理方法,得到对应的第一实体序列,以便后续的其他处理操作。
示例性地,客户端计算设备收集客户的会话记录日志,然后执行本实施例提供的命名序列处理方法,得到对应的第一实体序列,以便后续的其他处理操作,或者发送至云端的服务器进行后续其他处理操作。
在示例性实施方式中,S302可以包括:
对语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到命令序列对应的第一实体序列。
在示例性实施方式中,识别的命名实体可以包括以下至少之一:设定类型的命令、管道符、命令连接符、单一选项、多选项、网络协议参数、路径参数、统一资源定位符参数、命令终止符。
在示例性实施方式中,S302之后,本实施例的方法还可以包括:
从第一实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列;
记录第二实体序列以及第二实体序列的出现次数;其中,N为正整数。
示例性地,N的取值为4、5或6。然而,本申请对此并不限定。
关于本实施例提供的命令序列处理方法的相关说明可以参照上述实施例提供的命令序列检测方法的相关描述,故于此不再赘述。
图4为本申请实施例提供的命令序列检测装置的示意图。如图4所示,本实施例提供的命令序列检测装置,包括:
处理模块401,适于对命令序列进行语法解析和命名实体识别,得到命令序列对应的第一实体序列;其中,命令序列包括一个或多个命令;
匹配模块402,适于确定第一实体序列与至少一个基线的匹配结果;其中,基线中记录有通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列;
检测模块403,适于根据匹配结果,确定命令序列所属的类别。
关于本实施例提供的命令序列检测装置的说明可以参照图1对应的方法实施例的描述,故于此不再赘述。
图5为本申请实施例提供的命令序列处理装置的示意图。如图5所示,本实施例提供的命令序列处理装置,包括:
语法解析模块501,适于将命令序列中的至少一个命令解析为语法树;
命名实体识别模块502,适于基于语法树,进行命名实体识别,得到命令序列对应的第一实体序列。
关于本实施例提供的命令序列处理装置的说明可以参照图3对应的方法实施例的描述,故于此不再赘述。
此外,本申请实施例还提供一种交互方法,包括:提供一种交互界面,其中,交互界面至少包括以下之一:命令序列显示区域、命令序列对应的语法树的显示区域、基于语法树的命名实体识别结果的显示区域、基线显示区域、命令序列的检测结果显示区域;其中,基线显示区域用于显示通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列。
在本实施例中,交互界面可以提供给网络管理人员或维护人员,以便监控命令序列检测或处理的执行过程。
本实施例中,基于语法树的命名实体识别结果的显示区域中可以在语法树上叠加显示命名实体识别结果;或者,可以选择性显示语法树和命名实体识别结果。然而,本申请对此并不限定。
图6为本申请实施例提供的另一命令序列检测方法的流程图。如图6所示,本实施例提供的命令序列检测方法,包括:
S601、接收命令序列,其中,命令序列包括一个或多个命令;
S602、获取命令序列对应的对象序列,其中,对象序列包括一个或多个对象;
S603、根据对象序列,确定命令序列所属的类别。
本实施例提供的命令序列检测方法可以由客户端计算设备或者由服务端计算设备执行。然而,本申请对此并不限定。
在示例性实施方式中,以类别包括恶意命令序列和非恶意命令序列为例,则S603之后,本实施例的方法还可以包括:
若命令序列属于非恶意命令序列,则执行该命令序列;
若命令序列属于恶意命令序列,则标记出该命令序列,并发出告警消息。
关于上述操作可以参照图1对应实施例的相关描述,故于此不再赘述。
在示例性实施方式中,对象可以包括以下至少之一:命令类型、参数、命令符号。其中,参数例如可以包括:IP参数、路径参数、URL参数等;命令符号例如可以包括:命令连接符、命令终止符等;命令类型的种类可以根据实际应用场景的需求进行定义。然而,本申请对此并不限定。
在示例性实施方式中,S602可以包括:对命令序列进行语法解析和命名实体识别处理,得到命令序列对应的对象序列。
在本示例中,可以将命令序列中的任一命令解析为语法树,然后对语法树中的全部叶子节点或命令叶子节点进行命名实体识别,得到该命令序列对应的对象序列。其中,语法树解析过程和命令实体识别过程可以参照图2对应的示例说明。在本示例中,基于图2可知,命令序列对应的对象序列可以为:command_ps ps_option_1</s>command_cat cat_param_path_1</s>。
在示例性实施方式中,S603可以包括:确定命令序列对应的对象序列与至少一个基线的匹配结果;根据匹配结果,确定命令序列所属的类别。
在本示例中,基线中可以记录用于指示特定类别的一组对象序列。根据获取的命令序列对应的对象序列与基线中的对象序列的匹配程度,来识别命令序列所属的类别。比如,获取的命令序列对应的对象序列与基线中的对象序列的匹配程度较高,则识别该命令序列属于基线指示的特定类别,比如,恶意命令序列。
仍以图2为例,以包括五个对象的对象序列作为一个对象序列单位为例进行说明。在本示例中,根据命令序列对应的对象序列,可以得到以下两个对象序列单位:
command_ps ps_option_1</s>command_cat cat_param_path_1
ps_option_1</s>command_cat cat_param_path_1</s>
然后,对比基线中是否记录有与上述两个对象序列单位匹配的对象序列,若基线中存在匹配的对象序列,则可以确定命令序列属于该基线指示的类别。
在本实施例中,通过将命令序列转换得到对象序列,增加命令序列的区分度,以提升命令序列的检测效果,提高识别率。
图7为本申请实施例提供的一种计算设备的示意图。如图7所示,本实施例提供的计算设备700,包括:第一存储器701和第一处理器702,第一存储器701适于存储命令序列检测程序,该命令序列检测程序被第一处理器702执行时实现图1或图6对应实施例提供的命令序列检测方法的步骤。
其中,第一处理器702可以包括但不限于微处理器(MCU,Microcontroller Unit)或可编程逻辑器件(FPGA,Field Programmable Gate Array)等的处理装置。第一存储器701可用于存储应用软件的软件程序以及模块,如本实施例中的命令序列检测方法对应的程序指令或模块,第一处理器702通过运行存储在第一存储器701内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的命令序列检测方法。第一存储器701可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,第一存储器701可包括相对于第一处理器702远程设置的存储器,这些远程存储器可以通过网络连接至上述计算设备700。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
示例性地,计算设备700还可以包括第一通信单元703;第一通信单元703可以经由一个网络接收或者发送数据。在一个实例中,第一通信单元703可以为射频(RadioFrequency,简称为RF)模块,其用于通过无线方式与互联网络进行通信。
此外,本申请实施例还提供一种计算设备,包括:第二存储器和第二处理器,第二存储器适于存储命令序列处理程序,该命令序列处理程序被第二处理器执行时实现图3对应实施例提供的命令序列处理方法的步骤。
其中,关于第二存储器和第二处理器的说明可以参照第一存储器和第一处理器的说明,故于此不再赘述。
此外,本申请实施例还提供一种计算机可读介质,存储有命令序列检测程序,该命令序列检测程序被处理器执行时实现上述图1或图6对应实施例提供的命令序列检测方法的步骤。
此外,本申请实施例还提供一种计算机可读介质,存储有命令序列处理程序,该命令序列处理程序被处理器执行时实现上述实施例提供的命令序列处理方法的步骤。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块或单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块或单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上显示和描述了本申请的基本原理和主要特征和本申请的优点。本申请不受上述实施例的限制,上述实施例和说明书中描述的只是说明本申请的原理,在不脱离本申请精神和范围的前提下,本申请还会有各种变化和改进,这些变化和改进都落入要求保护的本申请范围内。
Claims (17)
1.一种命令序列检测方法,其特征在于,包括:
对命令序列进行语法解析和命名实体识别,得到所述命令序列对应的第一实体序列;其中,所述命令序列包括一个或多个命令,所述对命令序列进行语法解析和命名实体识别包括:将所述命令序列中的任一命令解析为语法树,对所述命令序列对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别;
确定所述第一实体序列与至少一个基线的匹配结果;其中,所述基线中记录有通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列,所述基线通过以下方式建立:将所述命令序列样本中的任一命令解析为语法树;对所述命令序列样本对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到所述命令序列样本对应的第三实体序列;从所述命令序列样本对应的第三实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列,在所述基线中记录得到的所述第二实体序列以及所述第二实体序列的出现次数;其中,N为正整数;
根据所述匹配结果,确定所述命令序列所属的类别。
2.根据权利要求1所述的方法,其特征在于,所述在所述基线中记录得到的所述第二实体序列以及所述第二实体序列的出现次数之后,所述方法还包括:删除所述基线中出现次数小于或等于次数阈值的第二实体序列。
3.根据权利要求1或2所述的方法,其特征在于,所述确定所述第一实体序列与至少一个基线的匹配结果,包括:
从所述第一实体序列中的第一个实体开始依次将N个连续实体分别作为一个第四实体序列,确定所述第一实体序列中第四实体序列的总数目;
确定与所述基线内的第二实体序列匹配的第四实体序列的数目,作为第一数目;
计算所述第一数目与所述总数目的比值,作为所述第一实体序列与所述基线的匹配结果。
4.根据权利要求3所述的方法,其特征在于,所述根据所述匹配结果,确定所述命令序列所属的类别,包括:
若所述匹配结果大于或等于第一阈值,则确定所述命令序列属于所述基线指示的类别;
若所述匹配结果小于所述第一阈值,则确定所述命令序列不属于所述基线指示的类别。
5.根据权利要求1所述的方法,其特征在于,所述基线包括第一基线以及第二基线;所述第一基线中记录有用于指示第一类别的一组第二实体序列,所述第二基线中记录有用于指示第二类别的一组第二实体序列;
所述确定所述第一实体序列与至少一个基线的匹配结果,包括:
从所述第一实体序列中的第一个实体开始依次获取N个连续实体分别作为一个第四实体序列,确定所述第一实体序列中的第四实体序列的总数目;
确定与所述第一基线内的第二实体序列匹配的第四实体序列的数目,作为第二数目,以及确定与所述第二基线内的第二实体序列匹配的第四实体序列的数目,作为第三数目;
计算所述第二数目与所述总数目的比值,作为所述第一实体序列与所述第一基线的匹配结果;以及计算所述第三数目与所述总数目的比值,作为所述第一实体序列与所述第二基线的匹配结果。
6.根据权利要求5所述的方法,其特征在于,所述根据所述匹配结果,确定所述命令序列所属的类别,包括:
若所述第一实体序列与所述第一基线的匹配结果大于或等于第二阈值,则确定所述命令序列属于所述第一基线指示的第一类别;
若所述第一实体序列与所述第二基线的匹配结果大于或等于第三阈值,则确定所述命令序列属于所述第二基线指示的第二类别;
若所述第一实体序列与所述第一基线的匹配结果小于所述第二阈值,且与所述第二基线的匹配结果小于所述第三阈值,则根据设定规则,确定所述命令序列所属的类别。
7.根据权利要求5或6所述的方法,其特征在于,所述第一类别为恶意命令序列,所述第二类别为非恶意命令序列;或者,所述第一类别为非恶意命令序列,所述第二类别为恶意命令序列。
8.根据权利要求1所述的方法,其特征在于,所述类别包括:恶意命令序列和非恶意命令序列,则所述确定所述命令序列所属的类别之后,所述方法还包括:
若所述命令序列属于非恶意命令序列,则执行所述命令序列;
若所述命令序列属于恶意命令序列,则标记出所述命令序列,并发出告警消息。
9.根据权利要求1所述的方法,其特征在于,所述识别的命名实体包括以下至少之一:设定类型的命令、管道符、命令连接符、单一选项、多选项、网络协议参数、路径参数、统一资源定位符参数、命令终止符。
10.一种命令序列处理方法,其特征在于,包括:
将命令序列中的至少一个命令解析为语法树;
对所述语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到所述命令序列对应的第一实体序列;
从所述第一实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列;
记录所述第二实体序列以及所述第二实体序列的出现次数;其中,N为正整数。
11.根据权利要求10所述的方法,其特征在于,所述识别的命名实体包括以下至少之一:设定类型的命令、管道符、命令连接符、单一选项、多选项、网络协议参数、路径参数、统一资源定位符参数、命令终止符。
12.根据权利要求10所述的方法,其特征在于,N的取值为4、5或6。
13.一种交互方法,其特征在于,包括:
提供一种交互界面,所述交互界面至少包括以下之一:命令序列显示区域、命令序列对应的语法树的显示区域、基于语法树的命名实体识别结果的显示区域、基线显示区域、命令序列的检测结果显示区域;
其中,所述基线显示区域用于显示通过对至少一个命令序列样本进行语法解析和命令实体识别得到的一组第二实体序列,所述基线通过以下方式建立:将所述命令序列样本中的任一命令解析为语法树;对所述命令序列样本对应的语法树中的全部叶子节点或者命令叶子节点进行命名实体识别,得到所述命令序列样本对应的第三实体序列;从所述命令序列样本对应的第三实体序列中的第一个实体开始依次将N个连续实体分别作为一个第二实体序列,在所述基线中记录得到的所述第二实体序列以及所述第二实体序列的出现次数;其中,N为正整数。
14.一种计算设备,其特征在于,包括:第一存储器和第一处理器,所述第一存储器适于存储命令序列检测程序,所述命令序列检测程序被所述第一处理器执行时实现如权利要求1至9中任一项所述的命令序列检测方法的步骤。
15.一种计算设备,其特征在于,包括:第二存储器和第二处理器,所述第二存储器适于存储命令序列处理程序,所述命令序列处理程序被所述第二处理器执行时实现如权利要求10至12中任一项所述的命令序列处理方法的步骤。
16.一种计算机可读介质,其特征在于,存储有命令序列检测程序,所述命令序列检测程序被处理器执行时实现如权利要求1至9中任一项所述的命令序列检测方法的步骤。
17.一种计算机可读介质,其特征在于,存储有命令序列处理程序,所述命令序列处理程序被处理器执行时实现如权利要求10至12中任一项所述的命令序列处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810011519.8A CN110008462B (zh) | 2018-01-05 | 2018-01-05 | 一种命令序列检测方法及命令序列处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810011519.8A CN110008462B (zh) | 2018-01-05 | 2018-01-05 | 一种命令序列检测方法及命令序列处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110008462A CN110008462A (zh) | 2019-07-12 |
CN110008462B true CN110008462B (zh) | 2023-09-01 |
Family
ID=67164662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810011519.8A Active CN110008462B (zh) | 2018-01-05 | 2018-01-05 | 一种命令序列检测方法及命令序列处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110008462B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110456765B (zh) * | 2019-07-29 | 2020-12-25 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
CN111698168B (zh) * | 2020-05-20 | 2022-06-28 | 北京吉安金芯信息技术有限公司 | 消息处理方法、装置、存储介质及处理器 |
CN112396641B (zh) * | 2020-11-17 | 2023-07-21 | 中国矿业大学(北京) | 一种基于全等二基线匹配的点云全局配准方法 |
CN116681074B (zh) * | 2023-08-04 | 2024-04-05 | 中科航迈数控软件(深圳)有限公司 | 数控系统误操作检测方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101079737A (zh) * | 2007-06-08 | 2007-11-28 | 中兴通讯股份有限公司 | 一种命令行接口命令的自动构造与解析方法及其系统 |
CN105488399A (zh) * | 2014-12-08 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于程序关键字调用序列的脚本病毒检测方法及系统 |
CN106844331A (zh) * | 2016-12-13 | 2017-06-13 | 苏州大学 | 一种句子相似度计算方法和系统 |
CN107292168A (zh) * | 2016-03-30 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 检测程序代码的方法及装置、服务器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150067833A1 (en) * | 2013-08-30 | 2015-03-05 | Narasimha Shashidhar | Automatic phishing email detection based on natural language processing techniques |
-
2018
- 2018-01-05 CN CN201810011519.8A patent/CN110008462B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101079737A (zh) * | 2007-06-08 | 2007-11-28 | 中兴通讯股份有限公司 | 一种命令行接口命令的自动构造与解析方法及其系统 |
CN105488399A (zh) * | 2014-12-08 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于程序关键字调用序列的脚本病毒检测方法及系统 |
CN107292168A (zh) * | 2016-03-30 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 检测程序代码的方法及装置、服务器 |
CN106844331A (zh) * | 2016-12-13 | 2017-06-13 | 苏州大学 | 一种句子相似度计算方法和系统 |
Non-Patent Citations (1)
Title |
---|
陈艳.《面向web的企业竞争情报获取》.《中国优秀硕士学位论文全文数据库信息科技辑》.2010,正文第34-46页. * |
Also Published As
Publication number | Publication date |
---|---|
CN110008462A (zh) | 2019-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110008462B (zh) | 一种命令序列检测方法及命令序列处理方法 | |
US20170142143A1 (en) | Identifying notable events based on execution of correlation searches | |
US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
US11500709B1 (en) | Mobile application crash monitoring user interface | |
US8713368B2 (en) | Methods for testing OData services | |
WO2015139539A1 (zh) | 一种视频信息推送方法及装置 | |
US10394868B2 (en) | Generating important values from a variety of server log files | |
WO2017167208A1 (zh) | 识别恶意网站的方法、装置及计算机存储介质 | |
CN110990447A (zh) | 一种数据探查方法、装置、设备及存储介质 | |
WO2014190427A1 (en) | Identifying client states | |
CN109284450B (zh) | 订单成单路径的确定方法及装置、存储介质、电子设备 | |
CN104182548A (zh) | 网页更新处理方法及装置 | |
CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
WO2018145637A1 (zh) | 上网行为记录方法、装置及用户终端 | |
US10936336B1 (en) | Configuration change tracking with multiple manifests | |
CN110619075A (zh) | 一种网页识别方法与设备 | |
US10915639B2 (en) | Staged dynamic taint flow inference | |
EP1710718B1 (en) | Systems and methods for performing streaming checks on data format for UDTs | |
CN116089962A (zh) | 一种高性能的Iast外部检测方法、装置、电子设备及介质 | |
CN115470489A (zh) | 检测模型训练方法、检测方法、设备以及计算机可读介质 | |
CN113138974A (zh) | 数据库合规检测的方法和装置 | |
US20190034308A1 (en) | Performance engineering platform using probes and searchable tags | |
CN115038089B (zh) | 一种基于信息抽取的多端数据监听采集方法 | |
CN112084439B (zh) | 一种识别url中变量的方法、装置、设备及存储介质 | |
US11863572B1 (en) | Adaptive data filtering system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40010818 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |