Detecting Anomalous Network Communication Patterns Using Graph Convolutional Networks

为了保护组织的终端设备免受复杂的网络攻击，需要采用先进的检测方法。在这项研究中，我们提出了一种基于图卷积网络（GCN）的变分自编码器（VAE）异常检测器GCNetOmaly，该检测器是通过对内部和外部机器之间的连接事件进行训练的数据进行训练的。所提出的GCN-based VAE模型的输入包括两个矩阵：(i) 归一化邻接矩阵，表示机器之间的连接，和(ii) 特征矩阵，包括各种特征（人口统计学、统计学、过程相关和Node2vec结构特征），用于对单个节点/机器进行建模。在对预定义时间窗口内收集的数据进行训练后，将该模型应用于同一数据；模型对给定机器的重构分数然后用作机器的异常分数。GCNetOmaly在由Carbon Black EDR记录的真实大规模数据上进行了评估，这些数据来自一家大型金融组织的自动取款机（ATMs）以及与Active Directory（AD）服务器的通信，在两个设置中进行了无监督和监督的评估。我们的评估结果表明，在无监督数据中，GCNetOmaly能够有效地检测到机器的异常行为。

GCNetOmaly论文试图解决的问题是如何使用GCN-based VAE模型来检测组织的终端设备是否遭受到复杂的网络攻击。这是一个新的问题。

GCNetOmaly的关键思路是使用GCN-based VAE模型，该模型接收两个矩阵作为输入：规范化的邻接矩阵和特征矩阵，用于对个体节点/机器进行建模和连接分析，从而检测异常行为。

GCNetOmaly使用真实的大规模数据集进行了评估，包括从一个大型金融组织的ATM和AD服务器中收集的数据。实验结果表明，GCNetOmaly在无监督数据上检测机器的异常行为方面非常有效。

最近的相关研究包括使用GCN-based VAE模型进行异常检测的其他论文，如Graph Variational Autoencoder for Unsupervised Anomaly Detection in Attributed Networks。