一种基于超图表征学习的APT恶意行为发现方法

本发明属于网络安全技术领域，具体涉及一种基于超图表征学习的APT恶意行为发现方法。本发明包括收集内核事件日志得到溯源图，对溯源图进行压缩，构建操作行为网络图；利用重叠社区发现算法得到操作行为网络图中所有进程的子社区，每个子社区形成一个超边；根据操作行为网络图提取进程的操作对象，将操作对象分配给相应的超边，形成超图结构；基于超图结构得到超边的特征矩阵训练超图神经网络，得到超图分类器；利用超图分类器进行APT恶意行为发现。本发明通过进程操作网络实现进程行为的高阶交互捕捉，基于构建的超图实现进程交互之间的深层次行为模式挖掘，基于超图的神经网络能对行为进行有效识别分类，具备更高的准确率。