基于超图Transformer的APT攻击威胁狩猎网络模型

作     者：李元诚 林玉坤 LI Yuancheng;LIN Yukun

作者机构：华北电力大学控制与计算机工程学院北京102206 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2024年第45卷第2期

页      面：106-114页

核心收录：

学科分类：080904[工学-电磁场与微波技术] 0810[工学-信息与通信工程] 0809[工学-电子科学与技术（可授工学、理学学位）] 08[工学] 080402[工学-测试计量技术及仪器] 0804[工学-仪器科学与技术] 081001[工学-通信与信息系统] 

基　　金：国家电网有限公司科技基金资助项目(No.5700-202199539A-0-5-ZN) 

主　　题：高级持续性威胁 威胁狩猎 图匹配 超图 

摘      要：针对物联网环境中高级持续性威胁(APT)具有隐蔽性强、持续时间长、更新迭代快等特点,传统被动检测模型难以对其进行有效搜寻的问题,提出了一种基于超图Transformer的APT攻击威胁狩猎(HTTN)模型,能够在时间跨度长、信息隐蔽复杂的物联网系统中快速定位和发现APT攻击痕迹。该模型首先将输入的网络威胁情报(CTI)日志图和物联网系统内核审计日志图编码为超图,经超图神经网络(HGNN)层计算日志图的全局信息和节点特征;然后由Transformer编码器提取超边位置特征;最后对超边进行匹配计算相似度分数,从而实现物联网系统网络环境下APT攻击的威胁狩猎。在物联网仿真环境下的实验结果表明,提出的HTTN模型与目前主流的图匹配神经网络相比均方误差降低约20%,Spearman等级相关系数提升约0.8%,匹配精度提升约1.2%。