本发明一种深度回声网络的溯源图APT攻击实时入侵检测方法，涉及一种网络安全入侵检测方法，该方法用Camflow工具将系统日志转换为具有偏序关系的DAG溯源图，将Camflow转换的溯源图输入到Camflow解析器，解析出特定格式的边缘列表；然后使用Weisfeiler‑Lehman子树图核算法构建流式直方图，借助HistoSketch算法将构建长度变化的流式直方图转换为固定长度的特征向量序列再输入到深度回声状态网络模型，利用多层储备池有效提取数据的潜在特征；最后使用K‑mediods算法对特征向量进行聚类，超过阈值的向量则判定为入侵行为。本发明在保持实时性的前提下能够对序列的长期依赖进行提取，以此提高模型检测的准确性。