摘要
基于节点分类模型的细粒度APT攻击检测方法,包括以下步骤;步骤1:从具有标签的系统日志数据中区分出实体条目和事件条目,构建有标签的初始日志溯源图;步骤2:将日志溯源图输入节点分类模型中,训练节点分类模型,训练完成后保存节点分类模型的参数;步骤3:从待检测的系统日志数据中区分出实体条目和事件条目,提取出实体与事件的有效属性,构建待检测日志溯源图,建立待检测日志溯源图节点和系统日志实体间的映射关系;步骤4:加载保存的节点分类模型参数,将经过剪枝降噪后的待检测日志溯源图输入节点分类模型中,获得节点分类模型的分类结果;步骤5:获得与攻击类别节点对应的异常日志实体条目。本发明提能够高人工处理异常反馈的效率。
