一种基于细粒度属性结构图的APT攻击检测方法及装置

本发明公开了一种基于细粒度属性结构图的APT攻击检测方法，包括以下步骤：步骤S1：解析系统日志，提取实体对应属性，形成属性结构图；步骤S2：训练结构感知图自编码器模型；步骤S3：通过异常检测模型中识别异常节点；步骤S4：根据实体与属性映射表，将步骤S3中筛选出的异常节点映射成对应实体，并返回实体对应的异常日志条目。本发明突破固有的信息粒度的限制，使用属性结构特征表征网络行为中的实体，充分挖掘出攻击行为的结构特征，提高了对隐蔽的APT攻击形式的检测能力，缩减异常日志范围，降低了人工筛选处理恶意攻击日志的负担。
同济大学
王成 | 郑俊韩 | 朱航宇