一种基于深度强化学习的自适应APT攻击检测方法

本发明属于网络安全与机器学习领域，公开了一种基于深度强化学习的自适应APT攻击检测方法。包括对多源日志数据进行格式统一操作；采用ELECTRA模型对预处理后的日志数据进行向量化，随后将生成的向量归一化并构建为日志序列，利用LSTM网络学习日志序列中的日志特征；运行DQN强化学习算法对LSTM网络的结构参数进行微调，状态空间为LSTM网络输出的日志特征，动作空间为调整LSTM网络的结构参数；利用微调后的LSTM网络重新学习日志序列中的日志特征，并将新学习的日志特征输入One‑Class SVM模型，若One‑Class SVM模型识别为离群点，则多源日志数据中包含APT攻击；否则多源日志数据中不包含APT攻击。本发明方法能够自适应不同攻击场景，并且提高了APT攻击检测的准确性。