1.一种基于图匹配的威胁狩猎方法，其特征在于，包括如下步骤：

1）构建起源图：收集系统内核审计日志，根据系统内核日志中的因果关系和事件流构建出起源图；

2）构建查询图：从网络威胁情报中提取威胁实体及各个威胁实体之间的关系，以此构建与攻击相关的查询图；

3）图匹配：采用边分割的方法将起源图进行分片，将分片后的起源图分配到各个站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，在起源图中找到与查询图最相似子图，即相似度分数最高为止，得到最高相似度分数；

采用边分割的方法将起源图进行分片具体包括：

根据查询图的各个节点在起源图中候选节点的个数，选择候选个数最少的节点对应的集合作为每个分区的初始节点集，从初始节点集的初始节点开始，每次从已划分数据的邻接点集合中选择一个节点划分到当前分区，直到当前分区达到额定负载，再进行下一个分区的划分，完成主站点分片；

将分片后的起源图分配到各个站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，具体包括：在主站点进行分片后，将查询图和分片后的起源图分配到各个站点，每个站点分别执行图匹配算法固定查询图的候选节点，通过查询图的候选节点计算起源图与查询图的相似度；

所述的图匹配算法包括：

3.1) 从ATT&CK模型抽取技术模板，根据查询图确定攻击技术，作为攻击元行为，每个站点融合起源图的单节点和攻击元行为进行查找固定查询图攻击元行为的候选节点；

3.2) 固定与查询图攻击元行为的候选节点的相邻节点，考虑相邻节点的上下文语义和边的语义信息，固定查询图的候选节点；

考虑相邻节点的上下文语义和边的语义信息，固定查询图的候选节点，具体包括：

3.2.1)根据系统实体的类型分为进程、文件、套接字和注册表，其中根据文件的不同类型，又分为敏感文件、库文件、可执行文件；

根据相邻节点的可达路径信息以及查询图的相邻节点的类型来确定查询图的最佳候选节点，如果对应则进入步骤3.2.2)考虑边的语义信息；

3.2.2) 考虑节点之间的信息流方向同时考虑节点之间的边的语义信息，进行攻击元行为之间的映射或进行节点之间的映射，匹配边的语义信息，如果匹配则完成边的语义信息，固定查询图的候选节点，如果不匹配，使用等价语义传递的规则再次匹配边的语义信息；

4）威胁预警：若最高相似度分数大于阈值，则立即进行警报，并将查询图匹配到的节点以及路径输出。

2.根据权利要求1所述的基于图匹配的威胁狩猎方法，其特征在于，步骤1）中，所述的系统为Linux、FreeBSD或/和Windows。

3.根据权利要求1所述的基于图匹配的威胁狩猎方法，其特征在于，步骤3.2.1)中，根据相邻节点的可达路径信息以及查询图的相邻节点的类型来确定查询图的最佳候选节点，具体包括：根据查询图的节点类型和起源图中的节点类型，如果类型相同，则该起源图中的节点作为查询图的候选节点之一，如果查询图的候选节点匹配到查询图中节点的可达路径信息、可达节点信息和查询图的相邻节点的类型三者中的任意一个，分别赋予不同的权重，权重值依次从低到高，三个权重能累计，最终选择权重值最高的候选节点作为查询图的最佳候选节点。

4.根据权利要求1所述的基于图匹配的威胁狩猎方法，其特征在于，步骤3.2.2)中，所述的等价语义传递的规则，具体包括：如果查询图中两个节点之间边的语义信息与对应起源图的候选节点之间边的语义信息不匹配，利用同类型事件的不同关联实体拥有不同的恶意程度，通过判断关联实体的上下文信息，判断边的语义信息是否与攻击关联，与攻击关联则认为路径可达，继续查找下一个节点，直到节点对应的边的语义信息相匹配为止，固定查询图的候选节点。