一种多步攻击溯源方法、系统、终端及可读存储介质,溯源方法包括以下步骤：格式化日志,从中提取事件特征,建立特征关系,依据特征关系,构建事件关系图；通过权重向量为事件关系图加权,得到带权关系图；将带权关系图传入社区检测模块,通过社区发现算法对其进行关系划分,发现攻击社区；社区发现后,基于得到的攻击社区,根据事件逻辑关系,建立先后顺序,构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质,本发明利用多个日志关联分析,能够解决因关系连接产生的状态爆炸问题,可以有效的分析多步攻击的攻击过程,可用于多种系统中基于多日志的攻击分析。

• 单位
  西安电子科技大学