基于图神经网络表示的APT攻击溯源识别和横向移动检测.pdf

华中科技大学硕士学位论文

摘要

高级持续性攻击（AdvancedPersistentThreatattacks，APT）是一种有组织、有规

划、攻击技术复杂的网络攻击方式，对经济和国家安全构成了严重威胁。因此，为发

现攻击并阻止其进一步造成损失，需要对APT攻击进行溯源。具体而言，需从宏观

层面上发现网络中存在的攻击，同时也需要从微观层面上检测APT攻击中扩大威胁

的唯一阶段——横向移动。基于这两种层面的攻击溯源需求，设计两种粒度下的攻击

溯源框架：一种是图级粒度的APT攻击识别框架，另一种是路径粒度的横向移动路

径检测框架。

针对图级粒度的APT攻击识别，提出了一种基于整体图表示的APT攻击识别框

架。该框架将溯源数据中适当粒度的信息组成溯源图，并利用设计的模式编码将节点

和边的关系信息编码，将编码结果作为节点初始特征。然后，该框架采用图神经网络

和针对大规模溯源图改进的图池化计算整体图表示，并利用整体图表示对溯源图分

类。针对路径粒度的横向移动路径检测，在上述任务所构建溯源图的基础上，提出了

一种无监督的基于路径表示的检测框架。该框架采用链接预测的方式学习节点链接

信息，优化节点嵌入，并利用元路径完成节点向量到路径向量的转换。最后，该路径

向量被无监督的自编码器分类，进而判断路径是否为横向移动路径。

通过相关实验验证了所提出框架在两个粒度任务下的有效性。图级粒度任务的

识别框架在StreamSpot和Wget数据集上的各项指标对比目前最先进方法提升了1%-

2%。路径级粒度任务的检测框架在LANL数据集的AUC和Accuracy指标上对比目

前最先进方法分别提升了2%和7%。

关键词：高级持续性攻击；横向移动路径；攻击溯源；图表示学习；溯源图

I

华中科技大学硕士学位论文

Abstract

AdvancedPersistentThreatattacks(APTs)aremeticulouslyplanned,highlyorganized,

andsophisticatedcyberattacksthatposesignificantriskstoboththeeconomyandnational

security.Therefore,APTattacksneedtobetracedinordertodetecttheattackandavoid

aggravationoftheloss.Specifically,itisessentialtoidentifyattackswithinthenetworkat

themacrolevel.Atthemicrolevel,itisnecessarytodetecttheonlystageofexpanding

threatsintheAPTattack,referredtoaslateralmovement.Consideringtheattack

provenancerequirementsatthesetwolevels,twoattackprovenanceframeworksare

designed:theAPTattackidentificationframeworkatthegraphlevelgranularityandthe

lateralmovementpathdetectionframeworkatthepathlevelgranularity.

Inthegraph-levelidentificationofAPTattack,aframeworkforAPTattack

identificationbasedonthegraphrepresentationisproposed.Th