数据中心作为一种基础设施被广泛地应用于各行各业,数据中心安全防护问题也开始普遍被人们关注。数据中心通常采用配置网络防火墙、用户访问控制等传统安全防护手段来抵御外部的入侵行为,但是从数据中心内部安全防护机制来看,这些安全防护手段难以对用户的一些异常操作进行防护,配置和管理也比较复杂。针对数据中心采用传统安全防护手段存在的不足,设计并实现了基于Linux Shell的异常操作检测系统,系统包括日志收集与预处理、基于规则的异常操作检测和基于命令序列的异常操作检测三个模块。日志收集与预处理模块用于收集合法用户历史执行的Shell日志和被监测用户当前执行的Shell日志,经数据预处理转换成命令序列,为异常操作检测工作做准备。在基于规则的异常操作检测模块中,设计并实现了规则库模型和规则库管理接口,方便管理员进行统一的管理与维护,基于规则库匹配算法对被监测用户执行的Shell命令进行检测,当发现异常操作时,立即中断用户会话。在基于命令序列的异常操作检测模块中,以合法用户历史命令序列为训练集构建用户行为特征库,基于异常命令序列检测算法将被监测用户执行的命令序列与合法用户行为特征库进行相似度计算,根据相似度判决值判定被监测用户操作是否存在异常。实验采用学校数据中心服务器上的用户Shell日志数据,分别从检测效率和检测准确率两个方面对基于规则的异常操作检测方法和基于命令序列的异常操作检测方法进行实验分析。实验结果表明,在实际的数据中心环境中,基于规则的异常操作检测方法有较高的检测效率,基于命令序列的异常操作检测方法有较高检测准确率,能够满足数据中心对用户执行Shell命令的异常检测需求。然而,系统对于服务器网络通信、资源使用状态等指标的异常检测还有待进一步的研究。