一种APT攻击检测方法、装置及设备

本申请公开了一种APT攻击检测方法、装置及设备，该方法基于多源安全数据构建并更新时空图；仅针对受变更节点影响的变化子图进行计算得到节点威胁评分以确定高危节点；提取高危节点的操作行为并利用预设的攻击战术体系确定操作行为所属的战术阶段，形成包含时间戳、行为描述向量和战术阶段标签的安全事件；通过分析任意两个安全事件间的时间间隔、战术意图一致性和战术阶段连贯性，确定其因果关联度；将安全事件及因果关联度映射为事件有向图的节点与边；从事件有向图中累积边权重较高的候选攻击路径中确定攻击路径。本申请实现了对APT攻击的实时、精准检测与自动化攻击链重建。