1.一種多步攻擊模式挖掘方法，其特征在于，包括：

A、從海量流量數據中基于敏感信息表篩選敏感信息流量，并根據殺傷鏈模型將敏感信息流量歸一化為源IP地址、目的IP地址、源端口、目的端口、時間、殺傷鏈階段以及區分標志七元組數據；

B、針對告警日志的誤報和漏報性質，將從流量數據中篩選出的敏感信息流量和告警日志通過采用單特征IP地址的相似性進行聚類，根據攻擊時間、攻擊名稱、IP地址對每個攻擊簇進行內部合并，剔除殺傷鏈階段大于3且小于該攻擊簇到這條數據為止的最大殺傷鏈階段的數據；過濾攻擊行為不完整和僅有敏感信息流量組成的攻擊簇；

C、攻擊簇內每條數據依據屬性重要性計算三位數指標(A-B-C)，其中A代表源IP和目的IP相似度，B代表該數據所處的殺傷鏈階段，C代表源端口和目的端口所在集群的距離；針對每一個攻擊簇，以三位數指標為縱坐標，攻擊步驟為橫坐標生成坐標點，得到攻擊圖模型其中N表示某類攻擊的實際攻擊過程步數，ABC代表多步攻擊中每一個單步攻擊的屬性特征值；

D、對攻擊圖模型數值進行標準化，得到結果為0-N的標準化數值；根據攻擊不同行為將多步攻擊行為分為蠕蟲式多步攻擊和單目標式多步攻擊， 同時分別初始化攻擊模型；然后從攻擊圖模型到初始多步攻擊模型圖找出第一個對應的點，并接著在最大容錯范圍內去檢查相應匹配的對應點；采用最小二乘法通過兩個最大匹配區間計算兩個模型圖的轉換概率值；并從中找出最小轉換概率值ε_min和修正過的數據集作為最終多步攻擊圖模型；對轉換概率值進行衡量，得到針對多步攻擊進行評估的預測值。