一种基于BERT模型的APT攻击溯源方法

本发明属于APT攻击溯源领域，公开了一种基于BERT模型的APT攻击溯源方法，首先通过训练BERT模型学习正常路径的模式，构建异常路径检测模型。然后利用该模型识别系统日志中的异常路径，根据事件频率将异常路径转换成向量，通过K‑Means++算法聚类。在每个类中，选取频率之和最高的路径作为关键路径，最后输出关键路径图。本发明基于系统内核日志数据，便于发现APT攻击的真实路径。同时利用正常系统内核日志和部分POI事件反向依赖图中的正常路径事件训练BERT模型，解决了数据集缺乏问题，并能更好地识别异常路径。此外，聚类异常路径频率向量能更准确地发现关键路径，在一定程度上克服APT攻击路径多样的问题。