一种自动攻击溯源方法、终端设备及存储介质

本发明涉及一种自动攻击溯源方法、终端设备及存储介质，该方法中包括：接收不同来源的日志并进行分类和排序；对日志条目进行单词级别的拆分后，得到标记化的日志条目；构建异常日志识别模型，模型包括嵌入提取模块和分类模块，以标记化的所有日志条目作为训练集，以同步联邦学习的形式对模型进行训练；当接收到待溯源日志时，首先进行标记化，之后将标记化的日志条目输入训练后的模型，得到异常日志条目识别结果；将异常日志条目对应的事件类型作为可疑事件；构建每个可疑事件对应的独立因果图，并将所有可疑事件的独立因果图进行融合，基于融合后的因果图重建攻击故事。本发明可以检测攻击并且跟踪攻击链路，高效重建攻击故事。