1.一種基于可解釋卷積神經(jīng)網(wǎng)絡(luò)CNN與圖檢測(cè)的多步攻擊檢測(cè)方法，其特征在于，包括：

步驟1，將網(wǎng)絡(luò)通信流量進(jìn)行捕捉，利用流量信息對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)通行狀態(tài)進(jìn)行捕捉，并建立通信狀態(tài)圖；

步驟2，將步驟1捕獲的網(wǎng)絡(luò)通信流量對(duì)其進(jìn)行分流，對(duì)通信數(shù)據(jù)按照會(huì)話形式就行截取，并將分流后得到的數(shù)據(jù)進(jìn)行規(guī)整；

步驟3，將步驟2得到的數(shù)據(jù)作為輸入，形成規(guī)整后的訓(xùn)練數(shù)據(jù)集，利用經(jīng)典的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和分類使得能夠有效輸入進(jìn)行分類；利用模型解釋方法對(duì)卷積神經(jīng)網(wǎng)絡(luò)的決策過(guò)程進(jìn)行有效分析，建立語(yǔ)義決策樹(shù)，以獲得可解釋卷積神經(jīng)網(wǎng)絡(luò)，也就獲得了異常流量檢測(cè)模型；

步驟4，利用得到的解釋后的卷積神經(jīng)網(wǎng)絡(luò)模型對(duì)待檢測(cè)的流量進(jìn)行檢測(cè)，對(duì)于檢測(cè)為異常的流量得到異常檢測(cè)警報(bào)信息；利用警報(bào)信息，對(duì)建立的通信狀態(tài)圖進(jìn)行更新；

步驟5，從建立的通信狀態(tài)圖中提取帶權(quán)重的異常攻擊子圖，得到攻擊場(chǎng)景并提取出攻擊鏈；

所述步驟3具體為：

步驟31，利用經(jīng)典的卷積神經(jīng)網(wǎng)絡(luò)模型對(duì)標(biāo)記的流量數(shù)據(jù)進(jìn)行訓(xùn)練；在模型最后一層卷積后面加上全局池化層，再連接全連接層用于輸出分類類別；利用交叉熵作為損失函數(shù)，Adam作為優(yōu)化器來(lái)訓(xùn)練模型；

步驟32，通過(guò)步驟31得到訓(xùn)練好的卷積模型后，提取出最后一層的全連接層的權(quán)重矩陣；其代表了最后一層卷積層與分類結(jié)果之間的權(quán)重關(guān)系；將訓(xùn)練樣本再次放入模型中，提取出卷積層最后一層輸出的feature?map；

步驟33，利用步驟32得到的權(quán)重矩陣和feature?map，對(duì)其做加權(quán)相乘，得到某一分類對(duì)應(yīng)的類激活圖CAM圖層；設(shè)定閾值，將類激活圖中大于該閾值的元素位置集合進(jìn)行提取，并對(duì)應(yīng)到原樣本位置集合所在元素值集合進(jìn)行提取，得到攻擊細(xì)節(jié)圖像；

步驟34，對(duì)步驟33提取的攻擊細(xì)節(jié)進(jìn)行向量化，利用攻擊細(xì)節(jié)獲取最后一層卷積層中，對(duì)應(yīng)攻擊細(xì)節(jié)激活程度最高的一組過(guò)濾器，根據(jù)過(guò)濾器的激活程度提取對(duì)應(yīng)的特征向量chara_X，使用激活特征向量代表攻擊細(xì)節(jié)；

步驟35，對(duì)步驟34提取的攻擊細(xì)節(jié)進(jìn)行語(yǔ)義貼合；利用kmeans按照攻擊種類對(duì)細(xì)節(jié)向量進(jìn)行聚類，建立聚類模型，其中包含多個(gè)聚類中心點(diǎn)；提取聚類中心點(diǎn)，對(duì)所有訓(xùn)練樣本按攻擊方式進(jìn)行分類，標(biāo)記好分類標(biāo)記；計(jì)算樣本經(jīng)過(guò)步驟31-34得到的特征向量；利用GINI指數(shù)對(duì)決策樹(shù)聚類出的聚類中心進(jìn)行語(yǔ)義貼合；根據(jù)能夠通過(guò)聚類中心聚類出的攻擊方式，得到攻擊細(xì)節(jié)與攻擊方式的對(duì)應(yīng)關(guān)系；

步驟36，建立語(yǔ)義決策樹(shù)：對(duì)類似攻擊方式，或者同一個(gè)攻擊細(xì)節(jié)區(qū)別出的多種攻擊方式進(jìn)行合并，重新標(biāo)記并利用步驟34得到攻擊特征向量，利用特征向量建立帶有語(yǔ)義信息的決策樹(shù)；

步驟37，為每個(gè)攻擊細(xì)節(jié)定義攻擊權(quán)重信息；

所述步驟5具體為：

步驟51，計(jì)算圖中所有節(jié)點(diǎn)的出入度，找到無(wú)入度的節(jié)點(diǎn)，放入root列表中；定義visited列表，大小為所有節(jié)點(diǎn)數(shù)量，初始值為false；

步驟52，遍歷root節(jié)點(diǎn)列表，選取每個(gè)當(dāng)前節(jié)點(diǎn)的后驅(qū)節(jié)點(diǎn)next列表，定義path列表、weight列表；

步驟53，對(duì)當(dāng)前遍歷節(jié)點(diǎn)定義為node_s的next列表按照權(quán)重從高到低進(jìn)行排序，并重置visited列表；

步驟54，依次讀取排序后next列表內(nèi)的節(jié)點(diǎn)，如果在讀取排序后next列表中節(jié)點(diǎn)發(fā)現(xiàn)未被訪問(wèn)節(jié)點(diǎn)定義為node_v，對(duì)未被訪問(wèn)節(jié)點(diǎn)進(jìn)行訪問(wèn)，并將visited列表對(duì)應(yīng)位置改為True，在path中記錄該節(jié)點(diǎn)，在weight中記錄node_s到node_v兩點(diǎn)之間有向邊權(quán)重；否則，讀取下一個(gè)節(jié)點(diǎn)，重復(fù)此判斷；

步驟55，遞歸訪問(wèn)節(jié)點(diǎn)的next列表直到為空，結(jié)束遞歸；打印path與weight列表；重復(fù)步驟53過(guò)程；

步驟56，重復(fù)步驟53,步驟54，步驟55過(guò)程，直到root列表遍歷完成；

步驟57，輸出多條多步攻擊鏈，按照權(quán)重進(jìn)行排序，輸出高權(quán)重攻擊鏈。