本发明公开了一种基于蜜点情报阈值调整的溯源图异常节点检测方法，通过将离线训练阶段得到的异常检测模型用于在线检测阶段，实现对溯源图异常节点的检测及攻击场景还原。一方面，本发明针对传统单模型异常检测区别不够敏感、易产生误报信息等问题，设计了多模型框架模块，通过多个子模型进行异常检测，并使用增加的概率校验模块提升子模型的分类信心，从而提高主机侧系统日志溯源图中异常行为的检测精确度。另一方面，本发明针对动态检测场景适应差的问题，使用基于盾立方四蜜情报的概率校验模块进行子模型的检测结果进行校验，盾立方四蜜情报实时捕获的攻击信息会实时影响异常检测时的分类置信度，从而提高异常检测中的动态场景适应性。