摘要
本发明公开了一种基于特征矩阵表示学习的APT攻击检测系统,包括:特征分析模块用于实时分析系统日志和网络流量,更新特征向量;并将相同实体的特征向量进行聚合,得到子网特征矩阵;异常分析模块用于根据训练完成的异常检测模型对子网特征矩阵进行检测,得到检测结果;其中,异常检测模型基于随机森林算法构建得到;并根据检测结果将实体对应的语义信息分别存储至簇头语义库以及中心语义库中;数据预处理模块用于对待检测程序进行语义分析,并将得到的待检测语义信息与簇头语义库和中心语义库分别进行匹配,得到待检测程序的检测结果。本发明降低了数据的传输与计算成本的同时大大降低了检测误警率,并且能够及时发现恶意程序。
