摘要
本发明公开了一种基于融合溯源图的私有云APT攻击实时检测方法,包括:利用私有云平台当前的日志数据和从历史日志数据挖掘出的低级行为序列模式生成当前融合溯源图,提取当前融合溯源图的特征后输入引入时序动态阈值的GRU模型中,采用多头注意力机制增强GRU模型的输出得到强化的特征表达;基于强化的特征表达和私有云平台的多个正常系统行为簇计算异常得分,根据异常得分与预设阈值之间的大小关系确定强化的特征表达对应的行为是否异常;多个正常系统行为簇是利用历史日志数据生成历史融合溯源图,提取历史融合溯源图的强化的特征表达,对历史融合溯源图的强化的特征表达聚类得到的。本发明能高效、精准地实现APT攻击检测。
