1.一種基于因子圖的推斷攻擊階段最大似然估計方法，其特征在于，包括以下步驟：

從APT數據集中提取攻擊事件-攻擊階段的二元序列；

基于攻擊事件-攻擊階段的二元序列進行訓練，得到相關參數，生成概率轉移矩陣；

具體包括：

(1)定義APT序列：

單個事件e_i：在i時刻發生的事件；

單個攻擊階段s_i：在i時刻的攻擊階段；

實際上APT是由多個事件及其對應的攻擊階段組成的，因此給出了下面的定義：

E_c：以先后順序依次發生的事件e的序列；

S_c：中每個事件所對應的攻擊階段組成的序列；

(2)定義APT采樣；

第i個APT記為A_i；

(3)將數據預處理，規范化；

(4)將采樣得到的數據輸入系統；

每個APT把它的信息以事件序列或攻擊階段序列二元組的形式輸入系統中進行處理；

所述的相關參數為：因子函數f_1-Basic(x)、f_{1-Commonality}(x)和f₂(x,y)；

f₁(x)是連接節點e，s的函數，表現事件e與對應攻擊階段s的關系；f₁(x)的表達式是f_1-Basic(x)和f_{1-Commonality}(x)共有的表達式，以指數函數的形式表示；f₂(x,y)是連接節點s之間的過渡函數，表現攻擊階段在時間維度上相互影響的關系；f₂(x,y)的表達式為：f₂(x,y)＝Matrix[x][y]，其中，矩陣Matrix是一個通過訓練階段得出的齊次馬爾科夫鏈的單步概率轉移矩陣，矩陣的第x行，第y列表示由σ_x引發下一時刻σ_y的概率；

再利用得到的數據集進行訓練，得到對應參數；

具體得到以下參數：

f₁(x)＝exp{q(E_c,S_c)}，其中，P(E_c,S_c)表示E_c-S_c的聯合概率，且有：

f₂(x,y)＝Matrix[x][y]；

矩陣Matrix是一個通過訓練階段得出的齊次馬爾科夫鏈的單步概率轉移矩陣；

矩陣的第x行，第y列表示由σ_x引發下一時刻σ_y的概率；

接收攻擊鏈并構建對應的因子圖，將攻擊鏈的攻擊階段轉化為因子圖的節點和因子函數；

具體包括：

接收攻擊鏈的輸入并構建因子圖；

(1)節點的構建：依次讀取測試數據的事件，在因子圖中加入事件節點e_i，并加入e_i對應的未知攻擊階段s_i

(2)選取因子函數加入因子圖：

加入f₁(x)：根據事件e_i的兩種特征進行分類，從而根據分類情況構建因子函數，提高了因子圖的復雜性，同時也增加了后續推斷的容錯率，使推斷的偏差更小；

加入f₂(x,y)：相鄰的s_i和s_i-1用一個f₂(x,y)連接；

至此，系統已經構建了一個完整的因子圖；

通過對因子圖進行處理，得到攻擊鏈所對應攻擊階段序列的最大似然估計；

具體地，通過Loopy Belief Propagation算法對因子圖進行處理，得到攻擊階段序列的最大似然估計；所述Loopy Belief Propagation算法的具體步驟包括：

初始化；

初始化信息的原則為使得節點周圍所有信息之和為1，即

消息更新；

使要傳遞消息的節點接收來自其他節點的消息并整合，將新的消息傳遞給選擇的節點；

消息更新分為兩種類型：

1)因子圖的節點向因子函數傳遞消息：

Ne(s)表示與s節點相鄰的節點；

傳遞信息的節點把除接收消息的節點外，其它相鄰節點的信息相乘并傳遞給目標節點；

2)因子函數向因子圖的節點傳遞消息：

發送消息時為求和操作，求和操作對象包括所有與f相關的變量值，f是發消息的節點，但是它能使s的值保持不變，s是將要發送消息的對象節點，假定s的值是i；

然后乘以其他所有相鄰變量節點s’的消息，除過正在給它發消息的節點，將所有s’發送給f的消息相乘，同時在這個求和中考慮這個因子涉及到的變量s’所取的值。