网络威胁检测方法、装置、设备及程序产品

本申请提供一种网络威胁检测方法、装置、设备及程序产品，方法包括：获取由目标系统的多条第一行为日志确定的第一双层溯源图；第一双层溯源图包括第一层以及第二层，第一层包括多个第一子图，第一子图中包括多个第一节点，第一节点为第一行为日志在目标系统中对应的实体，第一节点之间的边对应于第一行为日志的操作；第二层包括多个第一超节点，每个第一超节点对应一个第一子图，第一子图之间的边为第二层的超边；根据第一双层溯源图确定第二层包括的多个第一超节点中的异常超节点；从异常超节点对应的第一子图中确定异常节点。本申请是在异常超节点对应的第一子图内确定异常节点，故可以大幅降低检测异常节点的计算量，能更快地定位到异常节点。