本发明提供了一种基于机器学习的信息系统恶意行为的识别方法。该方法包括图转换模块、训练模块、图卷积网络模块。三个模块组合成两个实施过程，训练过程、识别过程。所述方法采集主机进程/网络会话行为信息。序列化单元完成行为序列化操作，形成事件集合。图构造单元将事件集合抽象成为拓扑图。图规范化单元将拓扑图规范化为标准向量，输入图卷积网络模型进行预测输出。本发明所述的方法，可在主机层面和网络层面实现对系统中恶意行为的实时预测，以避免重要数据进一步遭受破坏的可能。