一种基于增强行为社区检测的APT威胁狩猎方法

本发明属于网络安全技术领域，公开了一种基于增强行为社区检测的APT威胁狩猎方法。包括收集日志数据并构建起源图并压缩；为压缩后的起源图中的每个节点赋予特征；根据节点的特征计算节点的备选值，选择备选值最大的前预设个数的节点作为备选节点，删除备选节点中的重叠节点得到种子节点，形成种子节点集；基于种子节点在压缩后的起源图中进行随机游走，生成种子节点对应的路径集合；根据路径集合对压缩后的起源图中的节点进行重叠社区划分；基于GraphSage算法获取重叠社区的社区特征向量，并采用多层感知机得到恶意概率，并将恶意概率大于概率阈值的重叠社区作为狩猎出的攻击行为社区。本发明有效提高APT威胁狩猎准确性。