一种基于可解释图神经网络的复杂多步攻击检测方法、系统及存储介质

本发明公开了一种基于可解释图神经网络的检测复杂多步攻击的方法、系统及存储介质，包括：利用先验攻击知识生成强负样本；将整体图输入检测模型得到攻击检测结果；将攻击事件和检测到的攻击行为输入解释器，得到对于攻击行为的解释。从系统日志中构建溯源图和攻击模式图，对生成的溯源图和攻击模式图进行对齐并增强整体图；使用对比学习在连续时间动态异构图上预训练多步攻击检测器的编码器；基于预训练模型在少量真实攻击样本上精调模型；使用嗅探器计算异常事件与前序事件之间的关联性然后挖掘器在嗅探器的指导下利用蒙特卡洛树搜索输出可解释子图。克服了现有方法难以解决数据不平衡问题以及可解释性低等问题。