【CN110414229A】操作命令检测方法、装置、计算机设备及存储介质【专利】

(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201910250265.X
(22)申请日 2019.03.29
(71)申请人 腾讯科技（深圳）有限公司
地址 518057 广东省深圳市南山区高新区
科技中一路腾讯大厦35层
(72)发明人 陈洁远　关塞　于洋　曾凡　
李家昌　聂利权　王伟　阮华　
万志颖　李航　
(74)专利代理机构 北京三高永信知识产权代理
有限责任公司 11138
代理人 张所明
(51)Int.Cl.
G06F 21/56(2013.01)
G06K 9/62(2006.01)
(54)发明名称操作命令检测方法、装置、计算机设备及存储介质(57)摘要本申请是关于一种操作命令检测方法、装置、计算机设备及存储介质。

该方法包括：获取在操作系统中输入的目标命令会话，所述目标命令会话中包含至少一条操作命令；获取所述至少一条操作命令中包含的各个命令词的词向量；根据所述各个命令词的词向量获取所述目标命令会话的命令会话向量；通过分类模型对所述命令会话向量进行处理，获得分类结果，所述分类结果用于指示所述目标会话命令中是否包含指定类型命令。

本申请所示方案不需要人工进行特征提取，能够自适应学习命令的向量化表达，并且自动识别出指定类型命令，从而提高恶意命令等指
定类型命令的检测准确性。

权利要求书2页 说明书13页 附图4页CN 110414229 A 2019.11.05
C N 110414229
A
权　利　要　求　书1/2页CN 110414229 A
1.一种操作命令检测方法，其特征在于，所述方法包括：
获取在操作系统中输入的目标命令会话，所述目标命令会话中包含至少一条操作命令；
获取所述至少一条操作命令中包含的各个命令词的词向量；
根据所述各个命令词的词向量获取所述目标命令会话的命令会话向量；
通过分类模型对所述命令会话向量进行处理，获得分类结果，所述分类结果用于指示所述目标会话命令中是否包含指定类型命令；所述分类模型是通过命令会话样本以及标注信息训练获得的机器学习模型，所述标注信息用于指示所述命令会话样本中是否包含所述指定类型命令。

2.根据权利要求1所述的方法，其特征在于，所述根据所述各个命令词的词向量获取所述目标命令会话的命令会话向量，包括：
获取所述各个命令词分别在词向量训练集中出现的频率，所述词向量训练集是用于训练命令会话对应的词向量的集合；
根据所述各个命令词分别在词向量训练集中出现的频率，对所述各个命令词的词向量进行加权求和，获得所述目标命令会话的命令会话向量。

3.根据权利要求2所述的方法，其特征在于，所述根据所述各个命令词分别在词向量训练集中出现的频率，对所述各个命令词的词向量进行加权求和，获得所述目标命令会话的命令会话向量，包括：
对所述各个命令词分别在词向量训练集中出现的频率对应的倒频率进行平滑处理，获得所述各个命令词分别对应的权重；
根据所述各个命令词分别对应的权重，对所述各个命令词的词向量进行加权求和，获得所述目标命令会话的命令会话向量。

4.根据权利要求1至3任一所述的方法，其特征在于，所述通过分类模型对所述命令会话向量进行处理，获得分类结果之前，还包括：
去除所述命令会话向量中的公共部分，所述公共部分是通过主成分分析方式获得的；
所述通过分类模型对所述命令会话向量进行处理，获得分类结果，包括：
通过所述分类模型对去除所述公共部分之后的命令会话向量进行处理，获得所述分类结果。

5.根据权利要求1至3任一所述的方法，其特征在于，所述获取所述至少一条操作命令中包含的各个命令词的词向量之前，还包括：
将所述至少一条操作命令中包含的指定类型元素替换为指定命令词。

6.根据权利要求5所述的方法，其特征在于，所述指定类型元素包括以下类型元素中的至少一项：
由连续数字组成的字段、互联网协议IP地址以及命令结束语。

7.根据权利要求1至3任一所述的方法，其特征在于，所述获取所述至少一条操作命令中包含的各个命令词的词向量，包括：
当所述目标命令会话满足过滤条件时，执行获取所述至少一条操作命令中包含的各个命令词的词向量的步骤。

8.根据权利要求7所述的方法，其特征在于，所述过滤条件包括以下条件中的至少一
2。