一种基于异构图表示学习的APT攻击检测方法

本发明公开了一种基于异构图表示学习的APT攻击检测方法，包括：溯源图构建阶段、异构图表示学习阶段、攻击检测阶段和攻击溯源阶段。溯源图构造阶段从系统审计日志中提取实体交互关系得到实体交互特征；异构图表示学习阶段从溯源图结构的同态性和异构性角度学习节点嵌入表示，将相同类型节点之间的信息聚合得到同态表示，不同类型节点之间的信息聚合得到异构表示。攻击检测阶段实现了节点级别和图级别恶意检测；攻击溯源阶段通过连通恶意节点构建恶意子图，还原攻击过程。这种方法更有效的捕获溯源图结构特征来学习系统行为模式，避免了预定义规则，降低了模型对语义数据的依赖。