摘要
本发明公开了基于知识图谱与图文聚合的APT攻击检测方法,具体包括如下步骤:步骤1,构建APT攻击行为知识图谱;步骤2,对构建好的知识图谱进行缩减,获取APT攻击子图;步骤3,抽取APT攻击子图中的路径序列,得到经过数据平衡的APT路径序列;步骤4,捕捉每条APT路径序列的上下文关系,得到局部隐藏上下文状态序列特征;步骤5,将经过数据平衡的APT路径序列重塑为新知识图谱,输出全局图结构特征;步骤6,对局部隐藏上下文状态序列特征与全局图结构特征进行特征聚合,根据聚合后的特征进行检测。解决了现有检测方法针对高流量型攻击检测中提取的攻击特征不能全面检测的问题。
