摘要
本发明属于APT攻击溯源领域,公开了一种基于BERT模型的APT攻击溯源方法,首先通过训练BERT模型学习正常路径的模式,构建异常路径检测模型。然后利用该模型识别系统日志中的异常路径,根据事件频率将异常路径转换成向量,通过K‑Means++算法聚类。在每个类中,选取频率之和最高的路径作为关键路径,最后输出关键路径图。本发明基于系统内核日志数据,便于发现APT攻击的真实路径。同时利用正常系统内核日志和部分POI事件反向依赖图中的正常路径事件训练BERT模型,解决了数据集缺乏问题,并能更好地识别异常路径。此外,聚类异常路径频率向量能更准确地发现关键路径,在一定程度上克服APT攻击路径多样的问题。
