摘要
本发明涉及一种自动攻击溯源方法、终端设备及存储介质,该方法中包括:接收不同来源的日志并进行分类和排序;对日志条目进行单词级别的拆分后,得到标记化的日志条目;构建异常日志识别模型,模型包括嵌入提取模块和分类模块,以标记化的所有日志条目作为训练集,以同步联邦学习的形式对模型进行训练;当接收到待溯源日志时,首先进行标记化,之后将标记化的日志条目输入训练后的模型,得到异常日志条目识别结果;将异常日志条目对应的事件类型作为可疑事件;构建每个可疑事件对应的独立因果图,并将所有可疑事件的独立因果图进行融合,基于融合后的因果图重建攻击故事。本发明可以检测攻击并且跟踪攻击链路,高效重建攻击故事。
