P3GNN: A Privacy-Preserving Provenance Graph-Based Model for APT Detection in Software Defined Networking

软件定义网络（SDN）在网络管理和可编程性方面带来了显著的进展。然而，这种进化也增加了对高级持久性威胁（APTs）的易感性，这是一种复杂和隐秘的网络攻击，传统的检测方法往往难以应对，特别是面对零日漏洞。一个普遍存在的问题是现有策略无法在解决协作学习场景中的数据隐私问题的同时检测到新型威胁。本文提出了P3GNN（基于隐私保护来源图的图神经网络模型），这是一种新颖的模型，将联邦学习（FL）与图卷积网络（GCN）相结合，以有效地检测SDN环境中的APT。P3GNN利用无监督学习分析来源图中的操作模式，识别表明存在安全漏洞的偏差。它的核心特点是将FL与同态加密相结合，从而在协作学习期间加强数据机密性和梯度完整性。这种方法解决了共享学习环境中的数据隐私关键挑战。P3GNN的关键创新包括其能够在来源图的节点级别检测异常，提供攻击轨迹的详细视图并增强安全分析。此外，该模型的无监督学习能力使其能够通过学习标准操作模式来识别零日攻击。使用DARPA TCE3数据集进行的实证评估表明，P3GNN具有卓越的性能，达到了0.93的准确率和0.06的低误报率。

本论文试图解决SDN环境下高级持久性威胁（APTs）的检测问题，以及在协作学习场景中解决数据隐私问题。

P3GNN模型将联邦学习（FL）和图卷积网络（GCN）相结合，利用无监督学习分析溯源图中的操作模式，识别安全漏洞。该模型采用全同态加密加强数据机密性和梯度完整性，以解决协作学习中的数据隐私问题。P3GNN的创新之处在于它能够在溯源图的节点级别检测异常，提供攻击轨迹的详细视图，增强安全分析。此外，该模型的无监督学习能力使其能够学习标准操作模式，从而识别零日攻击。

该论文的实验使用了DARPA TCE3数据集，取得了0.93的准确率和0.06的低误报率。P3GNN的核心特点是FL与同态加密的结合，以及其能够在节点级别检测溯源图中的异常。该研究的价值在于解决了SDN环境下的APT检测和协作学习中的数据隐私问题。

最近的相关研究包括： 1. "A Deep Learning Approach to Network Intrusion Detection"（2015） 2. "Federated Learning: Strategies for Improving Communication Efficiency"（2017） 3. "Privacy-Preserving Collaborative Machine Learning: An Overview"（2019）