基于Linux Shell命令的用户异常操作检测方法研究

2021年第5期doi：10.3969/.1671-1122.2021.05.004技术研究基于Linux Shell命令的用户异常操作检测方法研究吴驰，帅俊岚，龙涛，于俊清（华中科技大学网络与计算中心，武汉 430074）摘 要：针对数据中心安全需求，文章研究并设计了基于规则和基于命令序列的两种异常操作检测方法，在此基础上实现了基于Linux Shell命令的异常操作检测系统。基于规则的异常操作检测方法通过设计规则库匹配算法对被监测用户执行的Shell命令进行检测。基于命令序列的异常操作检测方法以合法用户历史命令序列为训练集构建用户行为特征库，使用异常命令序列检测算法判定被监测用户操作是否存在异常。实验结果表明，在高校数据中心环境中，基于规则的异常操作检测方法有较高的检测效率，基于命令序列的异常操作检测方法有较高的检测准确率，能够满足数据中心对用户执行Shell命令的异常检测需求。关键词：Linux Shell；异常检测；规则库；命令序列中图分类号：TP309 文献标志码： A 文章编号：1671-1122（2021）05-0031-08中文引用格式：吴驰，帅俊岚，龙涛，等.基于Linux Shell命令的用户异常操作检测方法研究[J].信息网络安全，2021，21（5）：31-38.英文引用格式：WU Chi, SHUAI Junlan, LONG Tao, et al. Research on Detection Method of User Abnormal

Operation Based on Linux Shell Commands[J]. Netinfo Security, 2021, 21(5): ch on Detection Method of User Abnormal Operation Based on

Linux Shell CommandsWU Chi, SHUAI Junlan, LONG Tao, YU Junqing(Network and Computation Center, Huazhong University of Science and Technology, Wuhan, 430074, China)Abstract: Aiming at the security requirements of data center, this paper studies and

designs two kinds of abnormal operation detection methods based on rule and command

sequence, and realizes the abnormal operation detection system based on Linux Shell

commands. In the rule-based abnormal operation detection method module, a rule base

matching algorithm is designed to detect the Shell commands executed by the monitored

users. In the module of abnormal operation detection method based on command sequence,

the user behavior feature library is constructed with the legal user history command sequence

收稿日期：2020-11-15基金项目：国家重点研发计划[2017YFB0801703]；赛尔网络下一代互联网技术创新基金[NGII20170408]作者简介：吴驰（1976—），男，湖北，高级工程师，硕士，主要研究方向为教育信息化、网络安全；帅俊岚（1996—），男，江西，硕士研究生，主要研究方向为入侵检测；龙涛（1974—），男，湖北，高级工程师，博士，主要研究方向为计算机软件和分布式计算；于俊清（1975—），男，内蒙古，教授、博士，主要研究方向为数字媒体处理与检索、网络安全、多核计算与流编译。通信作者：31

技术研究2021年第5期as the training set, and the abnormal operation detection algorithm based on abnormal

command sequence is used to determine whether the monitored user operation is abnormal.

The experimental results show that in the university data center environment, the rule-based

abnormal operation detection method has high detection efficiency, and the command sequence

based abnormal operation detection method has high detection accuracy, which can meet the

abnormal detection requirements of the data center for users to execute Shell words: Linux Shell; abnormaly detection; rule base; command sequence0 引言随着互联网技术的快速发展，数据中心作为一种新型基础设施，被广泛应用于各行各业，数据中心的安全防护问题也开始被广泛关注。目前，对于常见的计算机病毒、密钥泄露、非法访问、数据泄密等计算机信息安全问题，数据中心管理员通常采用安装计算机病毒扫描软件、配置网络防火墙、对敏感数据加密、用户访问权限控制等防护手段来解决[1-5]。这些防护手段可以抵御外部的恶意行为入侵，但是从数据中心内部的安全机制来看，对数据中心合法用户的各种误操作、违规操作或恶意操作等异常行为缺乏有效审计手段[6]。因此，迫切需要一个能够对数据中心服务器进行统一监控，并能检测用户异常操作的系统。在异常检测技术研究方向，国内外学者做了许多卓有成效的工作。李超[7]等人提出了一种基于共生矩阵的用户行为异常检测方法，通过计算当前事件序列构建出的共生矩阵与训练阶段构建的模型矩阵距离来判决用户行为。郭为鸣[8]提出了一种改进的用户入侵行为检测方法，采用基于动态链接库的Shell命令提取方法，以Shell命令记录作为审计数据，提高了入侵检测的准确率。SHONE[9]等人提出了一种用于入侵检测系统的新型深度学习技术，并使用KDD Cup 99和NSL-KDD数据集进行了实验验证，获得较好的实验结果。SERPEN[10]等人提出了基于Linux主机的异常行为检测系统的设计和性能评估方法，采用了Eigentraces特征提取技术，该特征提取方法是对操作系统调用跟踪数据进行主成分分析，并采用k-NN算法进行分类，具有较高的检测性能。章坚武[11]等人提出了基于模糊理论与关联规则的BVA-IDS（Boolean Vector Apriori-intrusion Detection System）模型，该模型具有较高的检测准确率和较低的误检率。朱韶平[12]等人提出了一种基于MSNN模型的网络安全入侵检测算法，利用多级Sigmoid神经网络进行模型训练，实验表明该算法具有较高的检测准确率，具有良好的应用价值。YANG[13]提出了一种基于数据挖掘算法的实时入侵检测系统，该系统具有实时检测以及分布式架构等特点，具有良好的应用前景。针对学校数据中心安全防护手段单一、效率低等问题，本文以高校数据中心实际环境为背景，研究并设计了基于规则和基于命令序列的两种异常操作检测方法，在此基础上实现了一种以Shell命令为审计数据的异常操作检测系统。1 基于规则的异常操作检测1.1 异常操作检测方法设计在基于Linux Shell命令的异常操作检测系统中，设计了基于规则的异常操作检测方法，对已知的异常操作进行检测，设计思路如图1所示。当用户通过统一的Web Shell终端登录到目标服务器时，会触发用户访问属性规则检测。每当用户执行一个命令都会向系统后台发出一个HTTP请求，请求消息体中携带的参数就是用户当前执行的Shell命令，系统后台使用规则库匹配算法对用户当前执行的命令进行检测。如果检测出当前命令与规则库中的高危命令相匹配或者命令操作的文件对象与敏感文件相匹配，则根据匹配规则对应的响应动作对当前用户进行反馈（包括命令提醒、命令阻断、中断会话等）。如果与规则库不匹配，则用户可以继续执行命令。1.2 规则库设计规则库是基于规则异常操作检测方法的基础，针32

终端实时监听用户提取命令名称及命令执行的Shell命令操作对象建立SSH连接检测结果反馈基于规则库和规则匹配算法进行检测目标服务器图1 基于规则的异常操作检测方法设计思路对不同的异常操作特征所包含的属性可以定义不同的规则类型。规则库中包含3种规则类型：高危命令规则、敏感文件规则和用户访问属性规则。高危命令规则的数据表各字段的名称、类型及含义如表1所示。敏感文件规则主要包含敏感数据文件等，敏感文件规则的数据表各字段的名称、类型及含义如表2所示。用户访问属性规则主要用于限制用户访问目标服务器时的主机IP地址和访问时间段，用户访问属性规则的数据表各字段的名称、类型及含义如表3所示。表1 高危命令规则数据表字段名类型含义TypeCHAR(1)命令类型CommandNameVARCHAR(256)命令名称CommandPatternTEXT命令规则ActionTypeCHAR(1)事件类型MatchingTypeCHAR(1)匹配类型表2 敏感文件规则数据表字段名类型含义FilePatternVARCHAR(256)文件规则TypeCHAR(1)文件类型ActionTypeCHAR(1)事件类型MatchingTypeCHAR(1)匹配类型表3 用户访问属性规则数据表字段名类型含义ServerIDVARCHAR(512)服务器idIPScopeVARCHAR(512)IP范围TimeScopeVARCHAR(256)访问时间段LifeCycleDATETIME生命周期1.3 规则库匹配算法规则库匹配算法的核心逻辑如图2所示。当用户通2021年第5期技术研究过Web Shell终端登录目标服务器时，可获取用户当前的访问时间，通过HttpRequest对象获取用户的主机IP，判断用户的主机IP和访问时间是否满足既定的访问规则。若满足，则监听用户在终端上执行的命令，提取命令名称和命令参数，基于Shell命令库索引判断当前用户执行命令的类型。如果命令类型为文件操作类型，则进一步判断命令参数中的操作文件是否为规则库中定义的敏感文件。如果当前执行的命令不是文件操作类型的命令，则以命令名称为索引，在高危命令库中查找对应的高危命令规则，通过遍历的方式判断当前执行的命令与查找结果中的高危命令规则是否匹配。如果匹配成功，则系统根据匹配规则的响应类型做出相应的反馈。开始用户通过Web Shell终端登录目标服务器获取用户主机IP、访问时间等属性信息判断用户主机IP、访问时间否等属性是否合法是监听用户执行的命令将命令按照空格进行分割，提取命令名称及命令参数否判断命令类型是否为文件是否操作类型是否为敏感文件按照命令名称从规则库中查找命令规则，进行规则匹配是是是否为高危命令否根据规则设定的响应事件类型返回响应事件结束图2 规则匹配流程1.4 实验1设计与结果分析1.4.1 实验1设计本实验采用了JMH（Java Microbenchmark Harness）框架对基于规则的异常操作检测方法进行性能测试。实验过程中将基于规则的异常操作检测方法的程序部署在一台独立的Linux服务器中，服务器环境配置如表4所示。33

技术研究2021年第5期表4 服务器环境配置CPU内存操作系统内核版本Intel(R) Xeon(R) Platinum

CentOS Linux release

8163 2.50 GHz 8vCPU16 GB7.3.1611Linux-3.10.01.4.2 实验1评价指标实验从两个维度来衡量基于规则的异常操作检测方法的检测效率。当规则库中规则数量一定时，不同并发线程数量对方法检测效率的影响；当并发线程数量一定时，规则库中不同规则数量对方法检测效率的影响。实验结果采用吞吐量作为检测效率的衡量指标，吞吐量指单位时间内检测方法最大能检测命令的次数，其值越大，表明方法的检测效率越高。1.4.3 实验1结果与分析实验中使用的服务器拥有一个8核CPU。为充分利用服务器的CPU资源，进行不同并发线程数对方法检测效率影响的实验时，设置最大的线程并发数为16。当规则数一定时，设置并发线程数的范围为1~16，得到不同并发线程数对方法吞吐量的影响如图3所示。15000

sm/10000次

量吐5000吞6并发线程数量

图3 不同并发线程数量对检测算法吞吐量的影响分析实验结果可得，随着并发线程数量增大，本文方法的吞吐量达到一个峰值然后趋于平稳；当并发线程数量为4时，吞吐量达到峰值，后面趋于平稳是因为服务器的资源耗尽。当并发线程数为4时，不同规则数对方法吞吐量的影响如图4所示。12000

s11500m/次11000

量10500吐吞11规则数量

图4 不同规则数量对检测方法吞吐量的影响34通过图4分析不同规则数量对检测方法吞吐量的影响。随着规则数量的增加，检测方法的吞吐量平稳下滑，因此，不同规则数量对检测方法吞吐量影响微小，这是因为本文方法实现过程中采用了缓存技术对规则库数据进行缓存。。2 基于命令序列的异常操作检测2.1 异常操作检测方法设计在Linux系统中，每个合法用户都有自己特定的使用命令的风格。例如，开发人员会经常在Linux系统中执行文件编辑、编译程序等相关的命令序列；运维人员在Linux系统中会经常执行系统配置、应用部署等相关的命令序列。因此，可以通过分析合法用户历史执行Shell命令序列的行为特征，并以合法用户的行为特征为基线，检测非法用户执行的命令序列。基于这样一种思路，设计了一种基于命令序列的异常操作检测方法，如图5所示。终端实时监听用户执行的经日志预处理转换成Shell命令命令序列流建立SSH结果反馈基于命令序列检测算法检测当前用户执行连接的命令序列历史Shell日志数据基于序列提取算法构建收集及日志预处理用户命令序列库目标服务器图5 基于命令序列的异常操作检测方法2.2 Linux Shell日志收集及日志预处理2.2.1 Linux Shell日志收集基于命令序列的异常操作检测方法采用合法用户历史执行的Linux Shell日志作为审计数据，通过日志分析合法用户的行为特征，并以合法用户的行为特征作为异常操作判断的依据。Linux系统中的BASH程序会自动记录系统上每个用户在Shell终端上执行的所有命令，命令日志被记录在位于用户HOME目录下的.bash_

history文件中。.bash_history文件中记录的部分日志示例如图6所示。cd /usr/bin

ls -laF

cat >

exit

vi

图6 .bash_history文件中部分命令日志示例2.2.2 日志数据预处理模块为了进一步分析合法用户历史执行Shell命令序列的行为特征，需要将日志收集模块收集到的合法用户Shell命令日志经日志预处理算法转换成命令序列流，日志预处理流程如图7所示。通过日志收集模块获取Linux系统中合法用户历史执行的Shell命令日志。在日志数据预处理过程中，保留命令名称、命令可选参数和命令特殊符号，将命令操作对象使用“<1>”或者“<2>”等占位符代替。经过预处理之后，图6所示的原始Shell命令日志按照时间先后顺序转换成了图8所示的命令序列流。开始获取用户Shell命令日志提取命令行和时间戳基于Shell命令库构建的两层索引过滤Shell命令日志是否有效是否保留Shell命令名称和命令特殊符号（|、>、>>等）将命令参数用“<1>”或“<2>”等占位符代替命令序列流结束图7 日志预处理流程2021年第5期技术研究cd,<1>,ls,-laF,cat,<1>,>,<1>,exit, vi,<1>图8 经数据预处理转换后的命令序列流2.3 命令序列库构建通过日志采集模块获取合法用户历史执行Shell命令日志，并且经数据预处理模块转换成命令序列流。根据N-gram模型[14]的处理方法定义K种长度不同的Shell命令子序列，表示合法用户的各种行为特征。设K种命令子序列的长度集合为L={l(1),l(2),l(3),…,l(K )}，其中，l(i)表示第i种命令子序列的长度，且l(1)

1, S

2, S

3,…, SK}，其中，S

i表示由所有长度为l(i)的命令子序列组成的集合。对于长度为l(i)的S

i中的第j个命令子序列t = Sji，其出现的频率P(t)的计算方法如公式（1）所示。其中，Nt表示命令子序列t在S

i中出现的次数，Nl(i)表示S

i中所有命令子序列的个数。P(t)=NtN( （1）

li)针对K种不同长度的命令子序列组成的集合，定义频率门限集合W={μ1, μ2, μ3,…, μK}，将S

i中出现频率大于或等于μ i的命令子序列提取出来，作为合法用户的行为特征，从而得到由不同长度的命令子序列组成的命令序列库。2.4 异常命令序列检测将已构建的合法用户命令序列库作为基于命令序列的异常操作检测的基。通过日志收集模块获取被监测用户在Linux服务器中执行的命令日志，经数据预处理模块将命令日志转换成命令序列流。利用序列匹配方法从命令序列流中提取被监测用户的命令子序列，并对每个命令子序列进行相似度赋值，得到一系列相似度流[15]。假设获得的相似度流为Z={sim(S1*, L), sim(S2*, L),…sim(Sn*, L)}。其中，Sn*表示从被监测用户命令序列流中提取的第n个命令子序列。对相似度流进行加窗取平均35

技术研究2021年第5期值（相似度判决值），假设窗口大小为w，计算Sn*的相似度判决值方法如公式（2）所示。D(n)=1n*wsimSm,Lm=∑) （2）

n−w+1(将得到的相似度判决值与判决门限进行比较，从而对被监测用户当前操作做出判决。假设判决门限为λ，将D(n)和λ进行比较，如果D(n)≤λ，说明被监测用户执行的命令序列与合法用户的历史行为特征相似度较低，判定当前被监测用户执行的命令序列存在异常，系统中断用户会话，阻止用户继续执行命令；如果D(n)>λ，说明被监测用户执行的命令序列与合法用户的历史行为特征相似度较高，判定当前被监测用户执行的命令序列正常，用户可以继续执行Shell命令。2.5 实验2设计与结果分析2.5.1 实验2设计在高校数据中心实际环境中，异常操作样本较少，本文基于命令序列的异常操作检测方法是以合法用户的行为特征去检测与合法用户行为特征相似度较低的异常操作。实验采用了华中科技大学数据中心服务器上4个合法用户的Shell命令日志作为实验数据集，分别命名为USER1、USER2、USER3、USER4，每个用户包含1000条Shell命令。将其中的USER1设为合法用户，将USER2、USER3、USER4设为非法用户，使用USER1中前500条命令为训练数据集，使用USER1、USER2、USER3、USER4中后500个命令作为测试数据集。2.5.2 实验2评价指标本实验采用虚警概率和检测概率这两个指标来衡量实验结果。其中，虚警概率表示将正常操作判定为异常操作的概率，检测概率表示异常操作被正确判定为异常操作的概率。2.5.3 实验2结果与分析实验训练阶段基于命令序列库构建方法，对USER1训练数据集进行训练。实验中定义了3种不同长度的命令子序列，参数设置为K=3，不同命令子序列长度集合为L={1,2,3}，频率门限设定为W={0.0002,0.0002, 0.0002}，36得到USER1不同长度的命令序列库中命令子序列的个数如表5所示。表5 不同长度命令子序列的个数长度l(1)l(2)l(3)命令子序列个数45114224实验测试阶段使用USER1、USER2、USER3、USER4中后500条命令为测试数据集，基于异常命令序列检测方法，得到如图9所示的判决曲线。图9 异常命令序列检测判决曲线从图9可以看出，USER1的判决曲线和USER2、USER3、USER4的判决曲线区分度较大。实验中将相似度判决门限设定为0.6，根据检测概率和虚警概率的计算方法，得到USER2、USER3、USER4的检测概率如表6所示，USER1的虚警概率为0.77％。表6 USER2、USER3、USER4的检测概率USER2USER3USER4检测概率97.38%99.39%99.29%实验采用真实数据中心环境下不同用户的Linux

Shell命令日志进行实验验证，通过对实验结果分析可知，大部分情况下基于命令序列的异常操作检测方法对非法用户的异常操作具有较高的检测概率，对合法用户的正常操作具有较低的误报率，满足实际的基于Linux Shell命令的异常操作检测系统的功能需求。3 系统架构及功能设计3.1 系统架构设计系统架构设计如图10所示。数据采集与存储层是整个系统架构的基础，主要采集两个方面的数据：合法用户历史执行的Shell命令日志和被监测用户当前执行的

Shell命令。数据的采集手段是在需要检测的服务器上安装代理程序，监听用户HOME目录下的.bash_history文件，通过增量的方式实时同步用户执行的Shell日志到Kafka消息中间件，后端系统获取其中的消息，将获取到的数据反序列化为JOSN格式并存储到数据库中，再通过数据预处理模块将原始的Shell命令日志数据转换成Shell命令流的形式保存在数据库中。用户界面Shell终端日志监控异常监控数据管理异常行为检测命令库序列构建异常命令序列检测规则库管理规则匹配数据采集与存储数据提取数据预处理数据存储图10 系统总体架构异常行为检测层是整个异常行为检测系统架构的核心，主要包括两种检测方法：基于规则的异常行为检测方法和基于命令序列的异常行为检测方法。基于规则的异常行为检测封装了一套规则管理接口，系统管理员可以通过接口来定义一系列的安全规则，指定某些特定操作是危险的，再通过实时监听系统提供的统一的Web Shell终端，获取被监测用户当前执行的指令，使用模式匹配算法与定义好的规则库进行匹配，从而判断当前执行的指令是否存在异常。针对一些未知的异常行为，采用基于命令序列的异常行为检测方法，通过分析合法用户历史执行的Shell命令日志，基于模式挖掘算法构建合法用户命令序列库，实时监听被监测用户当前执行的命令序列，使用模式匹配算法与合法用户命令序列库进行相似度计算，从而判断当前用户的行为是否存在异常。系统最上层是用户界面层，系统管理员可以通过用户界面对规则库、命令库等数据进行统一管理，对运维人员的异常操作进行实时监控，并对相关日志进行查询。此外，用户界面层为运维人员提供了统一的2021年第5期技术研究Web Shell终端以实时监测其执行的操作命令。3.2 系统功能设计根据系统架构设计，系统的主要功能可分为7部分。1）命令库管理功能采集Linux系统中常用的Shell命令，按照命令的功能作用进行分类，从而构建常用的命令库。系统可以根据命令库来判断用户执行的Shell命令的有效性，还可以判断用户当前执行的指令的类型。提供统一的管理接口，系统管理员可以通过接口对命令库进行更新维护。2）规则库管理功能规则库管理功能是系统管理员管理规则的接口，管理员可以通过该接口录入高危命令，当Linux用户执行的命令与规则库中的高危命令匹配时，则会发出异常警告；也可以通过该接口录入敏感文件，当Linux用户操作的文件或所在的工作目录与规则库中的敏感文件匹配时，也会发出异常警告。通过该接口还可以录入Linux用户访问IP，通过限制Linux用户的主机IP，进一步提高安全性。3）Web Shell终端Web Shell终端是所有Linux用户登录目标服务器的入口，前端基于开源的xtermjs框架模拟Shell终端，后端采用nodejs技术实现SSH协议与目标服务器进行通信。基于HTTP协议可以实时监听用户在Web Shell终端执行的Shell命令，再基于异常行为检测功能对用户当前执行的Shell命令进行实时检测。4）日志数据收集日志数据收集功能是在Linux服务器上部署Filebeat监听程序，该监听程序按照一定的时间周期监听.bash_

history文件是否发生变化，并且按照增量的方式获取日志数据。5）数据预处理为了进一步分析用户的行为特征，将日志收集功能收集到的原始日志数据通过数据预处理功能转换成命令序列流的形式，该功能实现了通用的Linux Shell日37

技术研究2021年第5期志预处理算法。6）行为模式挖掘经过数据预处理之后获得命令序列流，基于模式挖掘算法提取用户的行为特征构建命令序列库。在基于命令序列的异常行为检测方法中，将被监测用户执行的Shell命令转换成命令序列流，与命令序列库进行相似度计算，从而发现其中潜在的异常行为。7）异常行为检测异常行为检测功能主要实现了两种检测方法：基于规则的异常行为检测和基于命令序列的异常行为检测。前者主要用于检测已知的异常行为，后者用于发现未知的异常行为。4 结束语针对数据中心采用传统安全防护手段存在的不足，本文研究了两种异常操作检测方法。设计了基于规则的异常操作检测方法，并且通过实验验证了该算法在检测效率方面具有较高的吞吐量。设计了基于命令序列的异常操作检测方法，实验结果表明该方法在实际数据中心数据集中有较高的检测概率。以上述检测方法为核心，实现了以Shell命令为审计数据的异常操作检测系统。下一步工作将深入研究Linux系统的运行环境，扩展更多规则类型，满足复杂的异常检测需求。参考文献：[1] ARDAGNA CA, ASAL R, DAMIANI E, et al. From Security to

Assurance in the Cloud: A Survey[J]. ACM Computing Surveys, 2015,

48(1): 1-50.[2] LI Jiliang, CHOO K K R, ZHANG Weiguo, et al. EPA-CPPA:

An Efficient, Provably-secure And Anonymous Conditional Privacy-preserving Authentication Scheme for Vehicular Ad Hoc Networks[J].

Vehicular Communications, 2018, 44(13): 104-113,[3] LI Jinxu. Security Threat Analysis and Countermeasures of Data Center

in Universities[J]. Information & Communications, 2018, 21(8): 147-148.李金旭.高校数据中心安全威胁分析与对策[J]. 信息通信， 2018，21（8）：147-148.[4] MCKAY K, BASSHAM L, SÖNMEZTURAN M, et al. Report on

Lightweight Cryptography[EB/OL]. /publications/38report-lightweight-cryptography, 2020-10-15.[5] ZHANG Shuiping, LI Jizhen, ZHANG Fengqin, et al. Research

and Implementation of Data Center Security System Based on Cloud

Computing[J]. Computer Engineering and Design, 2011, 32(12): 3965-3968, 3979.张水平，李纪真，张凤琴， 等.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计， 2011， 32（12）：3965-3968，3979.[6] ZHANG Jianhan, NIE Yuanming. Data Center Security Protection

Technical Analysis[J]. Netinfo Security, 2012, 12(3): 56-60.张剑寒，聂元铭.数据中心安全防护技术分析[J].信息网络安全， 2012，

12（3）：56-60.[7] LI Chao, TIAN Xinguang, XIAO Xi, et al. Anomaly Detection of

User Behavior Based on Shell Commands and Co-occurrence Matrix[J].

The Journal of Computer Research and Development. 2012, 49(9): 1982-1990.李超，田新广，肖喜， 等.基于Shell命令和共生矩阵的用户行为异常检测方法[J].计算机研究与发展， 2012， 49（9）：1982-1990.[8] GUO Weiming. Design and Research of Intrusion Detection System

Based on Linux Host[D]. Xiamen: Xiamen University, 2018.郭为鸣.基于Linux主机的入侵检测系统的设计与研究[D].厦门：厦门大学， 2018.[9] SHONE N, NGOC T N, PHAI V D, et al. A Deep Learning

Approach to Network Intrusion Detection[J]. IEEE Transactions on

Emerging Topics in Computational Intelligence, 2018, 2(1): 41-50.[10] SERPEN G, AGHAEI E. Host-based Misuse Intrusion Detection

Using PCA Feature Extraction and KNN Classification Algorithms[J].

Intelligent Data Analysis, 2018, 22(5): 1101-1114.[11] ZHANG Jianwu, HUANG Jiasen, ZHOU Di. Intrusion

Detection Model Based on Fuzzy Theory and Association Rules[J].

Telecommunications Science, 2019, 35(5): 59-69.章坚武，黄佳森，周迪.基于模糊理论与关联规则的入侵检测模型[J].电信科学， 2019， 35（5）： 59-69.[12] ZHU Shaoping, XIAO Yonglian, DANG Yanjun. Intrusion

Detection of Network Security Based on MSNN Model[J]. Computing

Technology and Automation, 2019, 38(4): 182-185.朱韶平，肖永良，党艳军.基于MSNN模型的网络安全入侵检测[J].计算技术与自动化， 2019， 38（4）： 182-185.[13] YANG Kui. A Novel Research on Real-time Intrusion Detection

Technology Based on Data Mining[J]. Journal of Physics: Conference

Series, 2019, 1345(5): 16-19.[14] CHELBA C, NOROUZI M, BENGIO S. N-gram Language

Modeling Using Recurrent Neural Network Estimation[EB/OL]. /abs/1703.10724, 2017-03-09.[15] TIAN Xinguang, GAO Lizhi, ZHANG Eryang. Intrusion Detection

Method Based on Machine Learning[J]. Journal on Communications,

2006, 26(6): 108-114.田新广，高立志，张尔扬.新的基于机器学习的入侵检测方法[J].通信学报， 2006，26（6）： 108-114.