随着人们的日常生活被网络所覆盖，网络空间的安全问题也逐渐被重视起来.网络中的攻击手段多种多样，高级持续威胁(advanced persistent threat, APT)攻击是其中较为复杂并且危害性较高的一种，具有攻击过程贯穿系统外部与系统内部且持续性强的特点，并且难以检测与彻底防御.提出一种基于LSTM(long short-term memory)的Linux系统下APT攻击检测方案，构建了一款基于内核插桩的分析恶意Linux ELF文件的沙箱LAnalysis来捕获APT攻击中的恶意行为；通过使用LAnalysis分析结果数据集结合网络攻击流量数据集NSL-KDD,依据攻击时序特征构建了APT攻击数据集，解决了当前业内Linux系统下APT攻击数据集较为缺乏的问题；最后将APT攻击中的时序性引入检测，基于LSTM进行APT攻击的检测.实验结果表明，构建的APT攻击检测模型具有良好的应用效果.

• 单位
  北京大学