本发明公开了一种基于时序关联性分析的多步攻击表征方法,将攻击过程中的同一类异常报警事件看作一个图节点;将一类报警事件到另一类报警事件的转换关系看作有向边;将每条边按照时间阈值进行切割,先将超出时间范围内的边去掉;对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图,并计算子图的支持度;将网络攻击阶段化特征库中的攻击特征用上述图结构进行形式化表征,并按照支持度和类别排序,再存入图数据库以提高检索效率。解决了现有技术中存在的记录形式的特征表示方法不够直观、处理查询速度缓慢的问题。
