一种基于主动防御的多源日志数据融合子树溯源图攻击检测方法

本发明提出了一种基于主动防御的多源日志数据融合子树溯源图攻击检测方法，包括步骤：根据CTI数据构建攻击行为图，将多源日志数据融合并构建溯源图；构建节点对齐规则，对攻击行为图和溯源图进行节点对齐；以节点对齐后的攻击行为图为查询图，以节点对齐后的溯源图为目标图，分别对查询图和目标图进行子树构建；对构建的查询图子树和目标图子树进行子树同构计算并进行递归更新，得到子树同构矩阵，根据子树同构矩阵计算最终的子树同构指标；进行查询图和目标图相似度计算得到广义指标矩阵；基于广义指标矩阵和子树同构指标进行攻击检测。本发明能在保证低时间复杂度的同时，维持较高识别率，显著提升了APT攻击检测的效率和准确率。