一种基于多特征融合的恶意命令行检测方法，属于网络安全和机器学习技术领域。其包括如下步骤：(1)对系统日志数据中的命令行进行数据的清洗，得到干净结构的命令行文本；(2)在得到的干净命令行文本上进行规则匹配，得到规则标签；(3)与已知的恶意命令行进行文本相似度的比较，得到相似性的标签；(4)利用自然语言处理的方法进行令牌提取；(5)进行多特征的融合，对恶意的命令行进行检测。本发明方法通过命令行的多种特征融合来进行恶意命令行的检测，能够弥补现有的安全工具对此类网络攻击检测能力的不足；其对于检测到的新的恶意命令行，又可以拆分成新的规则补充到规则库中，能够以动态的方式来不断完善规则库。