一种基于重叠社区发现的APT攻击行为识别方法

本发明属于网络安全技术领域，具体涉及构建了一种基于重叠社区发现的APT攻击行为识别方法。本发明包括收集日志数据并构建起源图，对起源图进行去噪和压缩；通过特征初始化、特征学习和种子节点检测得到种子节点集；为起源图中的每条边和每个节点计算权重，并将起源图重构为加权异构图；基于种子节点集和加权异构图进行重叠社区的检测得到每个种子节点的自然社区，同时得到起源图的多个子图；将待检测的子图的子图特征输入训练好的分类器，若待检测的子图的子图特征与良性的子图特征偏移较大，则待检测的子图中存在恶意行为。本发明对起源图进行去噪后进行重叠社区检测来进行攻击社区的划分与攻击行为的识别。