本发明公开一种多步攻击模式挖掘方法，实现基于少量先验知识的初始攻击模型启发式的生成新的攻击模型，并能够根据图匹配计算预测概率。包括：敏感信息与告警日志融合算法：针对告警日志的误报和漏报性质，将从流量数据中筛选出的敏感信息和告警日志通过IP相似度聚簇、攻击簇内合并和过滤、攻击簇间筛选三种算法进行融合。多步攻击模型：多步攻击模型定义如下其中N表示某类攻击的实际攻击过程步数，ABC代表多步攻击中每一个单步攻击的属性特征值。启发式多步攻击模型生成和攻击预测算法：通过图的概率匹配达到针对多步攻击的预测，步骤包括匹配对应点、计算概率值、生成多步攻击图模型、衡量转换。本发明通过启发式生成新攻击模型为攻击预测提供了新的思路。