本发明公开了一种基于溯源聚类及图序列化的入侵检测方法及系统，属于网络安全领域，包括：建立用于表示用户行为的溯源图，并对其中的节点进行聚类，得到与组成用户行为的行为实例一一对应的溯源子图；将各溯源子图序列化之后，分别输入至已训练好的特征提取模型，得到各行为实例的特征向量；将用户行为的各行为实例的特征向量分别与规则库中的特征向量进行比对，在用户行为的行为实例不全是正常行为实例时，判定用户行为为入侵行为；规则库为正常行为实例的特征向量的集合；若行为实例的特征向量与规则库中各特征向量的最小差异度大于预设的检测阈值，则该行为实例为异常行为实例，否则为正常行为实例。本发明能够提高入侵检测的检测精度和效率。