一种异常主机识别方法、系统、装置及可读存储介质

本发明提出的一种异常主机识别方法、系统、装置及可读存储介质，属于信息安全技术领域。所述方法包括：将网络中的主机与访问关系映射为图结构，积累流量数据后，运用图注意力网络提取节点特征，并通过平均多个时间段的特征向量获得每个节点的表征向量；预处理网络流量数据，用其替换节点的表征向量，形成训练数据，构建LSTM模型进行训练与验证，得到单变量时间序列预测模型；将待检测主机的流量数据输入单变量时间序列预测模型，获取预测结果；基于预测结果评估待检测主机的异常值，以确定待检测主机是否为异常主机。本发明结合了GAT与LSTM模型的优势，实现了对网络域中主机异常行为的准确检测和判定。