Los métodos de detección tradicionales y las defensas de seguridad son gradualmente insuficientes para hacer frente a las técnicas y estrategias de ataque en evolución, y tienen una granularidad de detección gruesa y un alto consumo de memoria. Como resultado, proponemos Sylph, un método ligero de detección de APT no supervisado basado en un grafo de procedencia, que no solo detecta ataques de APT, sino que también localiza ataques de APT con una fina granularidad de eventos y retroalimenta posibles ataques a los detectores del sistema para reducir su carga de localización. Sylph propone una arquitectura de proceso completo desde la recolección del grafo de procedencia hasta la detección de anomalías, comenzando desde los registros de auditoría del sistema y dividiendo subgrafos basados en intervalos de tiempo del grafo de procedencia en el que se transforma para reducir el consumo de memoria. A partir de los registros de auditoría del sistema, el grafo de procedencia en el que se transforma se divide en subgrafos basados en intervalos de tiempo, lo que reduce la ocupación de memoria y mejora la eficiencia de detección al mismo tiempo; sobre la base de generar la secuencia de subgrafos, se lleva a cabo la incrustación del grafo completo de los subgrafos utilizando Graph2Vec para obtener sus vectores de características, y se realiza la detección de anomalías basada en aprendizaje no supervisado utilizando un autoencoder, que es capaz de detectar nuevos tipos de ataques que aún no han aparecido. Después de la evaluación experimental, Sylph puede realizar la detección de ataques de APT con mayor precisión y lograr una tasa de precisión.