摘要
本发明提出了一种面向大规模网络下的攻击行为细粒度行为检测方法,解决了现有技术难以应对大型网络规模以及对网络攻击产生细粒度的报警难题,实现包括,日志获取;构建HST模型;基于HST模型的数据分类;基于KG图的日志处理;基于HST的异常节点检测;基于异常节点的语义提取与行为总结;基于事件的IDF属性的行为语义聚合;基于HCA算法的行为聚合。本发明提出分层事件树结构及知识图结构,使用KG图捕获内嵌于图的深层信息。本发明实现了细粒度的攻击检测、低误报率、适应大规模数据规模检测、能够识别新型网络威胁。本发明帮企业以及网络用户更好的保护数据安全,用于网络安全防护,创建更加良性安全的网络环境。
