本公开提供了一种恶意命令检测方法、装置、设备及介质，包括：对终端执行命令数据进行混淆，生成对应的第一恶意命令样本；将所述第一恶意命令样本输入第一训练后模型，以获取所述第一训练后模型输出的变种恶意样本；其中，所述第一训练后模型为利用第二恶意命令样本对GAN模型进行训练得到的，并且，所述第二恶意命令样本为对终端执行命令数据进行混淆，生成的恶意命令样本；利用所述变种恶意样本和正常样本对SVM模型进行训练，得到对应的第二训练后模型；当获取到待检测命令，则利用所述第二训练后模型输出对应的检测结果。这样，通过利用变种恶意样本训练得到的第二训练后模型，能够有效的检测未知的恶意命令，从而提升对ATP攻击的防御能力。