《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 一种融合多源异构数据的图神经网络联合框架
一种融合多源异构数据的图神经网络联合框架
网络安全与数据治理
胡开明,陈建华
广东松山职业技术学院
摘要: 针对网络空间攻防对抗呈现出多步骤、隐蔽化、异构化复杂特征,传统依赖规则匹配和统计分析的方法已难以满足精准溯源与实时态势感知需求的问题,提出一种融合多源异构数据的图神经网络联合框架,实现网络攻击的自动化溯源与动态态势感知。首先,通过构建网络实体-攻击行为异构信息网络,整合流量日志、漏洞库、告警信息等多源数据;其次,设计基于注意力机制的时空图卷积网络(ST-GAT),捕捉攻击行为的时序依赖与节点关联特征;最后,通过攻击路径推理与风险等级量化,形成从攻击溯源到态势评估的闭环。实验基于CTU.13和CSE.CIC.IDS2018数据集验证,结果表明该框架在攻击溯源准确率(92.7%)、态势评估响应时间(≤0.3 s)等指标上显著优于传统方法、近年主流时序GNN 变体及网络安全领域专用模型,为网络安全应急响应提供技术支撑。 关键词:;;;;
中圖分類號:TP393.08文獻(xiàn)標(biāo)志碼:ADOI:10.19358/j.issn.2097-1788.2026.04.007
中文引用格式:胡開明,陳建華. 一種融合多源異構(gòu)數(shù)據(jù)的圖神經(jīng)網(wǎng)絡(luò)聯(lián)合框架[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2026,45(4):51-58.
英文引用格式:Hu Kaiming,Chen Jianhua. A joint framework of graph neural networks integrating multisource heterogeneous data[J].Cyber Security and Data Governance,2026,45(4):51-58.
A joint framework of graph neural networks integrating multisource heterogeneous data
Hu Kaiming,Chen Jianhua
Guangdong Songshan Polytechnic
Abstract: Aiming at the complex characteristics of cyberspace attackdefense confrontation, such as multistep, concealed, and heterogeneous, traditional methods relying on rule matching and statistical analysis can hardly meet the needs of accurate traceability and realtime situation awareness. This paper proposes a joint framework of graph neural networks (GNNs) integrating multisource heterogeneous data to realize automatic traceability of network attacks and dynamic situation awareness. Firstly, a heterogeneous information network (HIN) of network entitiesattack behaviors is constructed to integrate multisource data such as traffic logs, vulnerability databases, and alarm information. Secondly, a spatiotemporal graph attention network (STGAT) based on the attention mechanism is designed to capture the temporal dependence of attack behaviors and the correlation characteristics of nodes. Finally, through attack path reasoning and risk level quantification, a closed loop from attack traceability to situation assessment is formed. Experiments are verified based on the CTU13 and CSECICIDS2018 datasets. The results show that the framework is significantly superior to traditional methods, the mainstream temporal GNN variants and dedicated models in the field of network security in indicators such as attack traceability accuracy (92.7%) and situation assessment response time (≤0.3 s), providing technical support for network security emergency response.
Key words : Graph Neural Network (GNN); network attack traceability; situation awareness; Heterogeneous Information Network (HIN); Spatiotemporal Graph Convolution(SGC)

引言

網(wǎng)絡(luò)攻擊溯源態(tài)勢感知作為網(wǎng)絡(luò)安全防御的核心技術(shù),在威脅檢測、應(yīng)急響應(yīng)、風(fēng)險管控等關(guān)鍵場景中具有不可替代的應(yīng)用價值,是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全、提升主動防御能力的重要支撐。然而,傳統(tǒng)攻擊溯源方法主要依賴規(guī)則匹配(如Snort規(guī)則)[1]、日志關(guān)聯(lián)分析和攻擊圖推理,存在顯著技術(shù)局限:規(guī)則匹配難以應(yīng)對未知攻擊變體,日志分析受數(shù)據(jù)質(zhì)量與完整性影響較大,攻擊圖推理則面臨狀態(tài)空間爆炸問題[2];態(tài)勢感知技術(shù)多基于統(tǒng)計學(xué)習(xí)方法(如SVM、隨機(jī)森林)[3],難以捕捉網(wǎng)絡(luò)實體間的復(fù)雜關(guān)聯(lián)關(guān)系與攻擊行為的時序動態(tài)演化特性。隨著網(wǎng)絡(luò)數(shù)據(jù)規(guī)模的指數(shù)級增長,多源異構(gòu)安全數(shù)據(jù)的融合建模與深層特征提取已成為突破現(xiàn)有技術(shù)瓶頸的核心關(guān)鍵。

針對上述問題,現(xiàn)有改進(jìn)方案多聚焦于規(guī)則庫迭代、日志預(yù)處理優(yōu)化或攻擊圖剪枝技術(shù),但這些方法仍未脫離對結(jié)構(gòu)化數(shù)據(jù)的強依賴,無法有效處理動態(tài)變化的攻擊場景,且存在智能化程度低、依賴人工干預(yù)等固有缺陷。在復(fù)雜攻擊場景(如高級持續(xù)性威脅APT)中,由于攻擊路徑隱蔽性強、跨節(jié)點協(xié)同性高,傳統(tǒng)方法難以實現(xiàn)攻擊行為的完整溯源與態(tài)勢的實時評估,導(dǎo)致安全響應(yīng)延遲,無法滿足主動防御需求[4]。

近年來,圖神經(jīng)網(wǎng)絡(luò)(Graph Neural Network,GNN)作為深度學(xué)習(xí)領(lǐng)域的重要分支,通過將圖結(jié)構(gòu)數(shù)據(jù)與神經(jīng)網(wǎng)絡(luò)深度融合,能夠自動學(xué)習(xí)節(jié)點與邊的高維特征表示,在節(jié)點分類、鏈路預(yù)測、路徑推理等任務(wù)中展現(xiàn)出優(yōu)異性能[5],為解決網(wǎng)絡(luò)安全領(lǐng)域的復(fù)雜關(guān)聯(lián)建模問題提供了新路徑。GNN具備的端到端學(xué)習(xí)能力與結(jié)構(gòu)表征優(yōu)勢,能夠有效突破傳統(tǒng)方法的技術(shù)局限,實現(xiàn)多源異構(gòu)數(shù)據(jù)的有機(jī)融合與攻擊模式的智能挖掘。

綜合上述研究,本文將GNN技術(shù)引入網(wǎng)絡(luò)攻擊溯源與態(tài)勢感知領(lǐng)域,構(gòu)建端到端的聯(lián)合框架,實現(xiàn)從數(shù)據(jù)建模、特征學(xué)習(xí)到路徑推理與態(tài)勢評估的全流程優(yōu)化。本文的貢獻(xiàn)總結(jié)如下:

(1)提出一種網(wǎng)絡(luò)實體-攻擊行為異構(gòu)信息網(wǎng)絡(luò)(EHIN)建模方法,將設(shè)備、漏洞、攻擊行為等多類型實體抽象為圖節(jié)點,實體間的關(guān)聯(lián)關(guān)系抽象為邊,通過規(guī)范化公式實現(xiàn)多源異構(gòu)安全數(shù)據(jù)的統(tǒng)一表征,解決數(shù)據(jù)融合難題。

(2)設(shè)計融合時序注意力與空間注意力的STGAT模型,完成時序依賴捕捉、空間關(guān)聯(lián)提取、特征融合與路徑推理的數(shù)學(xué)推導(dǎo),顯著提升復(fù)雜攻擊路徑的識別精度與效率。

(3)構(gòu)建“溯源-評估-預(yù)測”三位一體的態(tài)勢感知體系,基于GNN推理得到的攻擊路徑計算攻擊成功率、影響范圍等核心指標(biāo),結(jié)合網(wǎng)絡(luò)資產(chǎn)價值量化安全態(tài)勢,實現(xiàn)動態(tài)風(fēng)險評估與主動防御支撐。


本文詳細(xì)內(nèi)容請下載:

http://m.ihrv.cn/resource/share/2000007059


作者信息:

胡開明,陳建華

(廣東松山職業(yè)技術(shù)學(xué)院,廣東韶關(guān)512126)

2.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。