基于行为异常的多源组合协同攻击检测与溯源方法

本发明公开了一种基于行为异常的多源组合协同攻击检测与溯源方法，包括：S1、获取异常分数和异常节点；S2、评估威胁评分；S3、根据威胁评分确定异常节点是否为高危节点，并获取相关路径威胁；S4、根据路径威胁值或预定义的攻击行为模板序列，确定是否为攻击行为，得到初始攻击行为图和初始模块度；S5、进行社区划分，计算第一模块度和第二模块度；S6、根据第一、第二模块度移动高危节点，得到更新后的攻击行为图和更新模块度；S7、根据更新模块度和初始模块度得到目标攻击行为图，以对攻击行为进行溯源；否则，返回S5。本发明实现了对攻击行为的检测以及节点威胁的多维评估，构建的攻击行为图受到的干扰较少。