本发明涉及溯源图入侵检测技术领域，提出一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统，其中包括以下步骤：将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序，得到层级排序后的恶意顶点集合AN；根据层级排序后的恶意顶点集合AN，在溯源图G上逐层级进行锚顶点剪枝，得到由若干恶意行为子图组成的恶意行为子图集合；对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝，直至所述恶意顶点集合AN中的顶点元素全部被删除，得到相应锚顶点层级的恶意行为子图，用于对溯源图规则库的自动扩充。