一种基于攻击阶段语义对齐的异构事件关联表征模型构建方法、系统及设备

本发明提供的一种基于攻击阶段语义对齐的异构事件关联表征模型构建方法、系统及设备，包括以下步骤：从获取的主机间连接日志中提取六元组特征，得到统一表征的主机间告警日志数据；基于主机间告警日志数据构建主机间异常日志片段序列；将主机间异常日志片段序列进行映射，得到主机间攻击阶段；从获取的主机内操作日志中提取八元组特征，得到统一表征的主机内操作日志数据；基于主机内操作日志数据构建主机内敏感行为日志片段序列；将主机内敏感行为日志片段映射进行映射，得到主机内攻击阶段；在异构安全事件语义对齐的基础上，将主机间攻击阶段与主机内攻击阶段按照拓扑特征进行关联，构建得到异构事件关联表征模型；本发明能够有效克服单一日志源存在的观测盲区，能够同时捕获网络扫描、漏洞利用等网络行为和脚本执行、权限提升等主机内活动，从而实现对多步攻击过程更全面、更完整的还原。