一种基于溯源图的电力监控系统APT攻击线索识别方法

本发明提出了一种基于溯源图的电力监控系统APT攻击线索识别方法，设计了FADetector，包含溯源图构建、特征提取和异常检测三个模块。在溯源图构建模块，FADetector利用溯源数据集构建时间窗口内的溯源图；特征提取模块从节点级、路径级和图级三个层面提取特征；节点级特征通过20种与无文件攻击相关的特征合成向量；路径级特征将异常路径转化为稀有路径，并通过有向无环图中的K最长路径算法找出最异常路径；图级特征通过改进的graph2vec算法将图结构转化为向量。异常检测模块将三种特征向量输入VAE进行重建，通过重构误差评估异常分数，若分数超过阈值，则判定溯源图为恶意。