本发明公开了一种Linux主机入侵检测方法，本发明所涉及到的检测系统包括监控进程模块、处理模块、检测模块及日志模块。监控进程模块对进程进行筛查，启动监听进程。处理模块对所检测到的系统调用输出进行提取，维护系统调用事件时序文本序列，将其定期发送给检测模块。检测模块将经Fine‑tuning细调后的Bert模型放置在上游，在下游执行文本分类任务，输入特定进程的系统调用文本序列，通过模型嵌入至词向量，并输出分类结果。日志模块对检测、分类结果进行分析，根据分类结果进行日志记录及告警。该方法与硬件无关，具有普适性，方便模型的迁移及广泛使用。