基于圖神經(jīng)網(wǎng)絡驅(qū)動的APT攻擊瀕源與檢測機制研究

中圖分類號：TP309.5；TP391.4 文獻標識碼：A 文章編號：2096-4706（2025）12-0171-05

Research on APT Attack Provenance and Detection Mechanism Driven Based on Graph Neural Network

ZHANGLiang，LI Cheng，CHENXiaobo，LI Baoke，LIUKexin （KunlunDigital TechnologyCo.，Ltd.，Beijing 102206，China）

Abstract：Aiming at thechalenges ofhigh 1 alarmrate and poor scalabilityinlarge-scalenetwork attack provenance， an Advanced Persistent Threat （APT）intrusion detection system basedon provenance graphand Graph Neural Network is constructed.Firstly，atypicalatack provenancegraph isconstructed throughthesystem log.Secondly，thesemanticencoder is used tocapture thebasicsemanticatributesandthe temporal sequenceofevents inthe provenance graph.Thirdlyaontext encoder basedon Graph Neural Network isused to effctively encode local and global graph structures intonodeembedding. Finaly，thenodeembeddings generatedduringthetraningpasearequicklylasifedbyheclasifer.Tealgorithmachieves eficient processingoflarge-scale provenancegraphsthrough GraphNeuralNetwork，andtakes intoaccounttheeffciencyof data procesing，which can be used forreal-time detectionofAdvanced Persistent Threat.Compared with existing intrusion detectionsystems，thealgorithmachieves higherdetectionacuracyonpublictestdatasets，ndshowsbeteralarmeffciencyand scalability.

Keywords： provenance graph; Graph Neural Network; APT attck detection

0 引言

隨著網(wǎng)絡安全態(tài)勢的不斷演變，入侵檢測系統(tǒng)已成為網(wǎng)絡安全策略的重要組成部分，尤其是在應對高級持續(xù)威脅（AdvancedPersistentThreat，APT）方面。APT攻擊通常采用一系列的戰(zhàn)術、技術和程序（TTP）的組合，通過供應鏈攻擊、社會工程學攻擊、水坑攻擊、釣魚攻擊等手段繞過安全防御措施進行入侵，并通過建立后門、竊取機密文件，達到持續(xù)潛伏和破壞目標系統(tǒng)的目的[1-2]。

信息系統(tǒng)通常會采用入侵防御系統(tǒng)、身份認證系統(tǒng)和應用防火墻等主動防御技術進行防護，這些安全措施雖然可以應對大部分普通攻擊行為，但由于一些大型信息系統(tǒng)包含數(shù)以萬計的服務器和虛擬機，產(chǎn)生大量的告警信息，其中大量信息為假陽性告警，只有極少量告警與真實攻擊有關，導致有用信息淹沒在大量噪聲中。為了調(diào)查和驗證觸發(fā)的告警，安全工程師通常需要將告警的上下文與歷史告警關聯(lián)起來，這一過程需要大量的人工和時間，而且很難通過查看系統(tǒng)級事件來了解攻擊活動的進展。

為了提高入侵檢測系統(tǒng)對抗復雜入侵的能力，必須保證以高精度檢測這些威脅，保持較低的虛警率，并在確保系統(tǒng)性能的情況下消耗較少的資源[3]。通過對大量的APT攻擊案例的審計日志進行研究，研究發(fā)現(xiàn)APT攻擊可以利用日志中豐富的上下文信息進行檢測，這些攻擊行為的特征與正常的系統(tǒng)活動差異明顯，可以通過溯源圖結(jié)合系統(tǒng)活動日志和流量信息，刻畫APT的攻擊路徑，并通過溯源圖上發(fā)出反向追蹤查詢來找到攻擊源。

本文提出了一種新的入侵檢測算法，該算法通過學習攻擊行為的特征，能夠高效、準確地檢測APT攻擊行為。為解決在檢測過程中忽略語義信息的問題，本文采用嵌入技術將溯源圖中的進程名、命令行參數(shù)、文件路徑等節(jié)點屬性編碼為語義豐富的特征向量，并充分考慮事件的時間順序和相對位置，從而有效降低誤報率并提高整體檢測性能。此外，還采用圖神經(jīng)網(wǎng)絡捕捉溯源圖的局部和全局結(jié)構(gòu)，對和溯源無關的邊進行剪枝，使用和威脅相關的邊進行檢測，提高了系統(tǒng)的檢測性能。通過在公開的數(shù)據(jù)集上的測試，該系統(tǒng)的檢測率優(yōu)于基于溯源圖的一般算法。嵌入圖神經(jīng)網(wǎng)絡后，顯著減少了檢測的時間開銷，通過告警分類可以大幅降低安全工程師的工作量。

1 相關工作

在典型的APT攻擊場景中，攻擊者向目標受害者發(fā)送網(wǎng)絡釣魚電子郵件，這些電子郵件包含惡意腳本，攻擊者通過惡意腳本建立到命令和控制 （Camp;C）服務器的連接，隨后檢查系統(tǒng)配置并搜索敏感數(shù)據(jù)，一旦代理程序找到所需的文件，攻擊者就會命令服務器下載這些敏感數(shù)據(jù)并將其導出。

現(xiàn)有的基于溯源圖的入侵檢測系統(tǒng)存在以下幾個方面的問題：

1）通過學習良性行為來進行檢測，當行為偏離這些已建立的模型時，就會檢測到異常。這些系統(tǒng)利用最大似然算法，基于每個節(jié)點的系統(tǒng)事件分布作為特征向量來檢測攻擊。然而，這些系統(tǒng)往往不考慮語義屬性（如進程名稱、命令行或文件路徑等），因此會導致高誤報率。

2）通常不考慮系統(tǒng)事件的時間順序，而只關注每個節(jié)點的事件頻率。這種方法限制了模型對良性節(jié)點分布的理解，因為多個節(jié)點可以以不同順序執(zhí)行相同的事件，這也會導致誤報率升高。

3）利用圖神經(jīng)網(wǎng)絡從溯源圖中提取結(jié)構(gòu)信息，通過捕捉相鄰節(jié)點之間的關系來改進檢測。然而，圖神經(jīng)網(wǎng)絡的高計算需求會阻礙系統(tǒng)的擴展性，并使實時入侵檢測復雜化。

4）通常使用圖級異常檢測，這很難識別活動極少的隱蔽攻擊，這類方法也無法準確定位異常節(jié)點，導致檢測率低于節(jié)點級系統(tǒng)（如ThreaTrace[4）。

5）圖級粒度的入侵檢測系統(tǒng)可以識別潛在的惡意子圖，但難以精確定位發(fā)出威脅警報的惡意節(jié)點。在這種情況下，必須徹底分析標記的子圖以找到潛在的惡意節(jié)點。

2 檢測算法

為了構(gòu)建一個全面的威脅模型，我們對攻擊者的行為和系統(tǒng)的特征做出了一些假設。我們假設攻擊者是隱蔽的，并通過將惡意行為與合法的背景數(shù)據(jù)混合來主動隱藏。我們假設攻擊者在系統(tǒng)記錄中留下可識別的行為，以執(zhí)行不同于典型行為的惡意活動。這些模式能夠有效區(qū)分攻擊者節(jié)點的結(jié)構(gòu)與具有相同標簽的合法節(jié)點的結(jié)構(gòu)，通過分析圖形結(jié)構(gòu)和節(jié)點的特征，可以識別與攻擊者的行為相對應的異常實體，并隨著時間的推移跟蹤其行為。

該文的檢測算法結(jié)構(gòu)如圖1所示，主要包括溯源圖構(gòu)造器、基于語義屬性的編碼器、基于圖神經(jīng)網(wǎng)絡的編碼器、嵌入數(shù)據(jù)庫和異常檢測器。該算法通過系統(tǒng)日志生成溯源圖，然后利用語義屬性為節(jié)點創(chuàng)建特征向量，并使用圖神經(jīng)網(wǎng)絡進行上下文感知編碼。這些嵌入被存儲在數(shù)據(jù)庫中，供后續(xù)威脅檢測階段由分類器使用。

2.1 溯源圖構(gòu)建

APT檢測的首要任務是將系統(tǒng)日志轉(zhuǎn)換為溯源圖，日志中和進程相關對象的交互關系如圖2所示。溯源圖轉(zhuǎn)換主要包括三個步驟。首先，對系統(tǒng)日志進行解析，這些日志由主機事件記錄組成，如進程執(zhí)行、文件操作和網(wǎng)絡連接。通過批處理系統(tǒng)收集日志，依次對每個日志批次進行處理，提取其中的進程節(jié)點和對象節(jié)點。對象節(jié)點包括文件、網(wǎng)絡流、模塊和其他系統(tǒng)對象。這些節(jié)點之間的邊帶有指定事件類型的標簽，表明連接節(jié)點之間的因果關系和事件的時間戳。此外，節(jié)點還包含屬性，例如進程名稱、命令行參數(shù)、文件路徑、IP地址、端口號和模塊路徑，從而提供更多的上下文和細節(jié)。

圖1基于圖神經(jīng)網(wǎng)絡的溯源圖檢測算法框圖

圖2溯源圖主要內(nèi)容信息

2.2 語義編碼

我們采用RoPE模型[5]將語義屬性轉(zhuǎn)化為密集的向量空間，該方法考慮了每個節(jié)點類型的進程名稱和命令行參數(shù)、文件路徑、網(wǎng)絡IP地址端口以及模塊名稱。通過結(jié)合語義屬性和節(jié)點及跳鄰之間的調(diào)用關系為每個節(jié)點生成摘要。系統(tǒng)事件按時間戳排序，通過在良性系統(tǒng)日志上訓練的模型，將每個句子編碼為固定長度的向量。按照下面的方式定義嵌入向量 f_q（x_m m ）與 f_k 的相對位置，函數(shù) g 使得他們的內(nèi)積只與相對位置 m-n 相關，如式（1）所示：

f_q（x_m，m）=（W_qx_m）e^imθ

f_k（x_n，n）=（W_kx_n）e^inθ

g（xm，xn，m-n）=Re[（Wxm）（Wkxn）*ei（m-n）]

其中，Re[：]為復數(shù)的實部， （W_kx_n） *為 W_kx_n 的共軛。通過捕捉詞與詞之間的語義關系，生成密集的嵌入，為后續(xù)的圖神經(jīng)網(wǎng)絡學習提供節(jié)點特征。增加語義特征編碼后，惡意節(jié)點檢測可從系統(tǒng)活動、時間順序和語義屬性三個維度進行對比，從而提高對一些容易被忽視的惡意行為的檢測率。RoPE是一種適用于線性注意力機制的相對位置編碼方式，并且可以處理較大的文本長度，可根據(jù)標記日志中單詞的序列位置對其進行區(qū)分，通過語義屬性和單詞序列位置的結(jié)合，可以使圖神經(jīng)網(wǎng)絡更好地理解上下文，檢測一些特定的惡意行為。

2.3 上下文編碼

為了有效識別溯源圖中的隱蔽攻擊節(jié)點，就必須對每個節(jié)點周圍的跳鄰域結(jié)構(gòu)進行編碼。目前，較為有效的方法是通過圖神經(jīng)網(wǎng)絡進行圖表示學習。圖神經(jīng)網(wǎng)絡通常用于學習圖中節(jié)點的低維向量表示，并通過節(jié)點之間的連接有效捕捉其結(jié)構(gòu)信息。我們通過將語言編碼后的特征向量和圖結(jié)構(gòu)相結(jié)合，學習溯源圖中每個節(jié)點的結(jié)構(gòu)信息。然而，在實際應用中，圖表示學習會帶來較大的計算和存儲開銷，圖節(jié)點間的消息傳遞也會消耗大量資源，從而在入侵檢測系統(tǒng)中，會造成較大的延遲。

為了提高圖神經(jīng)網(wǎng)絡的效率，我們采用剪枝算法降低日志的復雜度[，以便圖神經(jīng)網(wǎng)絡能夠優(yōu)先處理對威脅檢測和調(diào)查非常重要的邊，而無須對全部的溯源圖進行遍歷，具體的剪枝算法如圖3所示。在剪枝中，只對兩個節(jié)點之間相同類型的單條邊進行采樣，同時去除代表低優(yōu)先級和與溯源無關的系統(tǒng)事件的邊，這類日志主要包括臨時創(chuàng)建的進程、在系統(tǒng)執(zhí)行期間從未與其他進程交互的事件以及進程節(jié)點的退出事件等。此外，溯源圖中的許多相鄰節(jié)點可能僅因特定于執(zhí)行的屬性而不同，但在其他方面卻完全相同，因此，只保留一個具有相同特定執(zhí)行信息的節(jié)點和邊，對于僅在用戶特定屬性上存在差異的節(jié)點或邊視為相同。

圖3上下文圖網(wǎng)絡的日志的剪枝算法

通過圖網(wǎng)絡壓減方法，可以減少在完整溯源圖上運行圖神經(jīng)網(wǎng)絡的計算和存儲開銷，同時還能為節(jié)點生成信息豐富的向量表示。在聚合過程中，我們?yōu)榻o定的圖生成結(jié)構(gòu)嵌入 G=（V，E） ，其中 V 為節(jié)點集合，E 為邊的集合。對于每個節(jié)點 u∈V 。， X_ν 為該節(jié)點的輸入特征向量，使得 e_ν^（0）=X_ν 為初始嵌入，此后迭代 k 次中，更新 u 節(jié)點的嵌入值的方式如式（2）所示：

e_ν^（k）=σ（M^（k）.A_k（e_u^（k-1）：u∈N（ν）?ν））

其中， σ（?） 為非線性激活函數(shù)， N（ν） 為節(jié)點 u 的鄰居節(jié)點集合， A_k（?） 為一個聚合函數(shù)，是第 k 次迭代中節(jié)點 ν 和其鄰居節(jié)點的和。 M^（k） 為一個可學習的參數(shù)矩陣，用于 A_k（?） 特征映射到新的嵌入空間，通過上述方法，可以將每個節(jié)點周圍的結(jié)構(gòu)信息編碼到向量空間。

2.4 分類檢測

經(jīng)過上述數(shù)據(jù)處理流程后，我們采用LightGBM算法[對特征向量進行分類，以完成異常檢測任務。LightGBM使用直方圖算法構(gòu)建決策樹，將連續(xù)特征值離散化為有限數(shù)量的桶，形成直方圖，通過在桶之間計算分裂增益，直接找到最優(yōu)分裂點，從而顯著減少需要評估的分裂點數(shù)量，降低計算復雜度。

LightGBM在每個節(jié)點上使用經(jīng)過整合的RoPE編碼向量和圖神經(jīng)網(wǎng)絡的上下文嵌入向量。它從預先訓練的鍵值存儲中檢索圖神經(jīng)網(wǎng)絡嵌入向量，實時生成RoPE特征用于推理，并保存為下一個階段的輸入。分類器學習事件的鄰域結(jié)構(gòu)和節(jié)點屬性，形成與各種節(jié)點類型相關的良性模式，通過比較檢測節(jié)點類型和實際節(jié)點類型來檢測異常節(jié)點。惡意實體通常會表現(xiàn)出偏離良性模式的鄰域結(jié)構(gòu)和屬性。在輸出結(jié)果中，威脅置信度較高的節(jié)點表示潛在的威脅較大。

3 測試結(jié)果

為了評估算法的性能，我們在服務器上進行了對比測試，服務器配置為8vCPU、64GB內(nèi)存、英偉達P5000GPU，操作系統(tǒng)為Ubuntu24.04.1LTS，測試中使用的事件日志批量大小為 250KB 。數(shù)據(jù)處理的編譯環(huán)境為Python3.13.1，圖神經(jīng)網(wǎng)絡模型使用Torch幾何圖形庫。該模型采用Sage卷積，可以結(jié)合相鄰節(jié)點的特征來創(chuàng)建新的節(jié)點表示，還包括層間的dropout和ReLU激活函數(shù)，以增強模型的泛化能力。我們使用LightGBM庫實現(xiàn)了LightGBM分類器，使用Gensim庫實現(xiàn)了Word2Vec模型，編寫了Python函數(shù)來構(gòu)建溯源圖、過濾不必要的信息和抽象節(jié)點實體，以利于測試中的數(shù)據(jù)處理。

我們使用了良性系統(tǒng)活動的審計日志，將其分為兩組：初始訓練和微調(diào)。在對初始訓練集進行訓練后，在良性驗證集上對其性能進行了評估，重點關注盡量減少誤報。根據(jù)評估結(jié)果，我們對模型和檢測閾值進行了微調(diào)。對于圖級配置，我們對模型進行了訓練，并在良性驗證圖上對其進行了評估，根據(jù)評估階段生成的警報數(shù)量確定了閾值。為防止過擬合，在模型訓練過程中加入了正則化層和dropout層。

為了評估圖神經(jīng)網(wǎng)絡的嵌入效果，我們將本文提出的算法與傳統(tǒng)的Word2Vec嵌入方法進行了性能比較，結(jié)果如圖4所示。圖神經(jīng)網(wǎng)絡的方法相比Word2Vec嵌入有較大的提高，這是由于圖神經(jīng)網(wǎng)絡能夠?qū)W習結(jié)構(gòu)特征，并從無關噪音中有效辨別相關行為模式，圖神經(jīng)網(wǎng)絡在準確捕捉溯源圖鄰域信息方面的能力表現(xiàn)較好。

圖4圖神經(jīng)網(wǎng)絡和Word2Vec的對比分析

為評估整體的異常事件檢測率，使用3個開源數(shù)據(jù)集進行評估，分別為StreamSpot[8]、Unicorn[]和DARPA E3^[10] 數(shù)據(jù)集。我們使用Unicorn作為評估的基準值，采用圖級異常檢測進行細粒度異常節(jié)點對比。表1展示了本文算法和Unicom算法的檢測率對比，通過準確率、召回率和F值等指標進行對比分析，本文提出的算法在各項指標上均優(yōu)于Unicorn檢測算法。

表1本文算法和Unicorn檢測算法的對比

（續(xù)表）

同時，我們評估了圖神經(jīng)網(wǎng)絡縮減的效果。結(jié)果顯示在測試環(huán)境中的116臺主機中，溯源圖的邊緣數(shù)量減少了 57% ，在不影響檢測結(jié)果的情況下，日志存儲可將存儲空間減少為原來的 1/2.6 ，檢測時間減少約 48% 。在實際運行環(huán)境中，我們在EDR檢測平臺上收集了2024年6月的APT攻擊事件20375條，通過本文算法對疑似APT攻擊行為進行了檢測，圖神經(jīng)網(wǎng)絡嵌入后提取的與惡意行為相關的攻擊行為578個，較此前的檢測率有較大提升，最終檢測分類中檢測出真實的攻擊行為213個。通過本文提出的算法可以有效剔除 97.2% 以上的虛警和誤報，提高了對APT攻擊的檢測效率。

4結(jié)論

本文提出了一種基于圖神經(jīng)網(wǎng)絡驅(qū)動的APT入侵檢測算法，在溯源圖構(gòu)建過程中采用圖神經(jīng)網(wǎng)絡將語義屬性和位置信息進行了嵌入，提高了惡意事件的匹配效率。同時，采用圖網(wǎng)絡壓縮算法，減少了溯源圖的邊數(shù)，有效降低了檢測系統(tǒng)的存儲和計算開銷，滿足了入侵檢測系統(tǒng)在準確率、實時性和可擴展性方面的需求。在實際運行環(huán)境中，我們進行了測試，該算法可以有效降低虛警和誤報，對惡意行為進行精確的篩查，提高了網(wǎng)絡安全運維的效率。

參考文獻：

[1]付鈺，李洪成，吳曉平，等.基于大數(shù)據(jù)分析的APT

攻擊檢測研究綜述[J].通信學報，2015，36（11）：1-14.

[2]劉海波，武天博，沈晶，等.基于GAN-LSTM的

APT攻擊檢測[J].計算機科學，2020，47（1）：281-286.

[3]ALSHAMRANIA，MYNENIS，CHOWDHARYA，et

al.ASurvey on Advanced Persistent Threats：Techniques， Solutions，

Challenges，and Research Opportunities [J].IEEE Communications

Surveysand Tutorials，2019，21 （2）：1851-1877.

[4]WANG S，WANG ZL，ZHOUT，et al.Threatrace：

Detectingand TracingHost-based ThreatsinNodeLevel Through

Provenance GraphLearning[J].IEEE Transactions on Information

Forensicsand Security，2022，17：3972-3987.

[5]SUJL，AHMEDM，LUY，etal.RoFormer：

Enhanced TransformerwithRotaryPositionEmbedding[J/OL].

Neurocomputing，2024，568：127063[2024-12-26].https：//doi.

org/10.1016/j.neucom.2023.127063.

[6]HASSANWU，BATESA，MARINOD.Tactical

Provenance Analysis for Endpoint Detection and Response

Systems[C]//2020 IEEE Symposium on Securityand Privacy（SP）.

SanFrancisco：IEEE，2020：1172-1189.

[7]LIMF，TAOHY，LIUMK，etal.Studyon Enhanced Fault Diagnosis ofChillerUnits in HVAC Systems Under the Imbalanced Data EnvironmentUsingGA-optimized LightGBM[J].EnergyandBuildings，2025，330：115360.

[8]MANZOORE，MILAJERDISM，AKOGLUL.Fast Memory-efficient AnomalyDetectionin StreamingHeterogeneous Graphs[C]//KDD'16：Proceedingsofthe22ndACMSIGKDD International Conference on Knowledge Discovery and Data Mining.NewYork：ACM，2016：1035-1044.

[9]MILLERamp;SMITH.Milleramp;SmithAnnounces “Unicorn”Quick Delivery Homes at Birchwood at Brambleton： AUnique and Convenient Solution for 55+ Homebuyers[EB/ OL].（2024-10-30） [2025-06-04].https：//www.abnewswire.com/ pressreleases/miller-smith-announces-unicorn-quick-deliveryhomes-at-birchwood-at-brambleton-a-unique-and-convenientsolution-for-55-homebuyers_718950.html.

[10]DINGX，BUWJ，LIZL，etal.ACyber-attack BehaviorDetectionModel BasedonLogActivity Graph[C]//2023 IEEE International Conference on Sensors，Electronics and ComputerEngineering（ICSECE）.Jinzhou：IEEE，2023：165- 169.

作者簡介：張靚（1980—），男，漢族，河北涿州人，工程師，碩士，研究方向：云計算應用、網(wǎng)絡安全體系管理；李成（1989一），男，漢族，河北容城人，工程師，本科，研究方向：云服務管理、網(wǎng)絡安全體系管理；通信作者：陳曉博（1983一），男，漢族，河北冀州人，正高級工程師，博士，研究方向：云計算架構(gòu)規(guī)劃、算力基礎設施、云安全；李保珂（1990一），男，漢族，山東聊城人，工程師，博士，研究方向：網(wǎng)絡安全及云技術應用；劉可欣（1985—），男，漢族，山東泰安人，工程師，碩士，研究方向：網(wǎng)絡安全及云技術應用。