本发明公开了一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统，将网络通信流量进行捕捉，建立通信状态图。将捕获的网络通信流量对其进行分流，将分流后得到的数据进行规整。将得到的数据作为输入，形成规整后的训练数据集，利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型。并利用类激活图提取细节与决策树结合建立代理模型得到可解释的卷积神经网络。利用得到的可解释的卷积神经网络模型对待检测的流量进行检测，对建立的通信状态图进行更新。从建立的通信状态图中提取带权重的异常攻击子图，得到攻击场景，利用带权重的深度优先遍历算法提取攻击链。本发明可以提高精度的同时降低误报的出现。还能够输出对应的权重信息，方便安全管理员对于检测信息的直接利用。