主机入侵检测一直是当前网络空间安全的研究热点,因此提出了一种基于双向长短期记忆网络的shell命令序列检测方法,通过审计用户输入的shell命令,发现如目录遍历攻击、大量读取、删除文件等恶意行为。该方法考虑到用户输入存在多样性、上下文关联性以及时序性,利用长短期记忆网络和Attention注意力机制处理序列化数据的优势,分类正常行为和恶意行为。基于SEA数据集构建的数据集的实验表明,该方法具有很高的检测能力和泛化能力。

• 单位
  上海交通大学