高级持续性威胁(APT)已成为网络空间所面临的主要安全威胁之一,而针对用户Shell的恶意命令检测近年来一直是研究的热点。本研究提出了一种基于LSTM的反弹Shell检测方法,通过检测用户储存在bash日志中的shell命令检测是否存在反弹Shell攻击行为。考虑到反弹Shell的隐蔽性、前后关联性和时序性,本研究利用TF-IDF实现特征提取并使用长短期记忆网络训练模型进行检测,区分正常行为和恶意行为。通过实验结果和对比表明,该方法具有很高的检测能力和泛化能力。

• 单位
  上海交通大学; 广东电网公司江门供电局