1.一種基于攻防結合的漏洞利用鏈構建技術，其特征在于：包括以下步驟：

S1：建立溯源圖數據庫

進行APT攻擊模擬實驗后，采集系統相關的日志信息，包含進程啟動、文件操作，同時設定不同系統實體之間的因果關系規則來進行捕獲，一個完整的規則由Action、Type、Port組成，所有系統日志會被解析為溯源圖的圖結構，頂點分為進程頂點類型和對象頂點類型，邊用事件發生的時間戳和事件類型代表具體的因果關系；

S2：攻擊溯源分析

據原始的溯源圖信息，尋找初始感染點，而后從初始感染點出發，搜索到感染節點的路徑，生成子圖，形成攻擊鏈圖；

S3：威脅分數評估

首先將攻擊鏈圖拆分，將每條路徑拆分為子圖，而后計算攻擊鏈子圖中的各個節點的威脅分數評估，依據攻擊類型枚舉和分類數據集，采取兩個風險評估指標：“攻擊可能性”和“典型嚴重性”，計算獨立節點評分后，依托戰術殺傷鏈的有序階段，設置對應邊的權重，節點之間的躍遷乘以權重的系數，得到攻擊展開的威脅數值，而后組合所有攻擊展開的步驟，通過累乘擴大不同攻擊鏈的數值差異性，根據模擬APT實驗的真實攻擊鏈路設置分數閾值，將超過閾值的攻擊鏈記錄為有效攻擊鏈，而后對有效攻擊鏈進行全面還原，還原其中被刪除的正常業務操作等行為，構建漏洞利用鏈，作為原始攻擊樣本；

S4：序列拆分

將完整的漏洞利用鏈拆分為單步攻擊的模式，將步驟之間的節點視為不同的對象，邊視為不同的行為，以此構建初始為攻擊利用操作的惡意行為序列和初始為正常業務操作的良性行為序列；

S5：序列詞形還原

根據原始的溯源圖信息對行為序列進行還原操作，將節點還原為進程頂點類型或對象頂點，將邊還原為具體的操作行為，比如打開、執行、連接等等，使用詞形還原emmatization將序列轉換為表示用于語義解釋的序列模式的通用文本，構建詞匯表，根據詞的細粒度語義分為四種不同的類型：進程、文件、網絡和動作，找到所有節點并將它們中的每一個映射到相應的詞匯表；

S6：平衡序列生成

惡意行為和良性行為的數量極度不平衡會使映射結果偏向于多數類或無法利用少數類，為了平衡訓練數據集，首先對具有一定相似度閾值的良性行為進行欠采樣，然后，它使用過采樣機制隨機變異惡意行為，直到它們的總數達到相同數量，欠采樣的定義為通過Levenshtein距離減少良性行為的數量，以計算詞形化序列之間的相似性，然后，當它們的相似性超過確定的閾值時，它會過濾掉結果，過采樣定義為采用基于突變的過采樣機制，將更多種類的惡意行為包含在原子行為集合中；

S7：技戰術映射

將最終獲取到的行為集合基于ATTCK框架進行映射，將具體的原子行為映射到技戰術類別中；

S8：深度學習模型訓練

將真實的漏洞利用鏈作為原始樣本，其對應的技戰術映射關系設置為規則，采用深度學習模型為數據的高層次摘要進行建模，挖掘出更多數據中潛藏的模式；

S9：技戰術矩陣點亮

將挖掘到的關聯模式映射到ATTCK所對應的技戰術矩陣中，點亮相應的類別，類別的關系依托于規則，具體的操作內容來源于原子的行為序列；

S10：漏洞利用鏈智能推演構建

將最終點亮的技戰術矩陣通過步驟的遞進和場景的需求對原子行為序列進行組裝重構，輔以變異算法提升攻擊多樣性，最終形成漏洞利用鏈集合，進行初步串聯驗證，根據效果從集合中提取可用的漏洞利用鏈，作為新的攻擊方式。