Detecting Complex Multi-step Attacks with Explainable Graph Neural Network

复杂的多步骤攻击已经对许多关键基础设施造成了重大破坏。为了检测此类攻击，基于图神经网络的方法通过将系统事件建模为图表现出了良好的结果。然而，现有的方法在实际部署中仍面临几个挑战。首先，考虑到大量的正常数据，缺乏足够的真实攻击数据。其次，由于事件图的动态和异构性质，对事件图的建模具有挑战性。第三，学习模型的缺乏解释性削弱了这种方法在生产环境中的可信度。为了解决上述挑战，本文提出了一种攻击检测方法Trace2Vec。该方法首先设计了一种侵蚀函数来增加罕见攻击样本，并将它们整合到事件图中。接下来，它通过连续时间动态异构图神经网络对事件图进行建模。最后，它采用蒙特卡罗树搜索算法来识别对攻击有更大贡献的事件，从而增强了检测结果的可解释性。我们已经为Trace2Vec实现了一个原型，实验评估表明它在检测和解释性能方面优于现有方法。

论文旨在解决复杂多步攻击对关键基础设施造成的破坏，并提出了一种基于图神经网络的攻击检测方法Trace2Vec。该方法在实际部署中仍面临着攻击数据不足、事件图建模困难和学习模型缺乏解释性等挑战。

Trace2Vec方法的核心思路是通过设计侵蚀函数来增加攻击样本的数量，并将其融入事件图中。然后，通过连续时间动态异构图神经网络对事件图进行建模。最后，使用蒙特卡罗树搜索算法识别对攻击有更大贡献的事件，从而增强检测结果的可解释性。

Trace2Vec方法在实验中表现出优异的检测和解释性能，并与现有方法进行了比较。实验中使用了多个数据集，并实现了Trace2Vec的原型。此外，该论文提出的侵蚀函数和蒙特卡罗树搜索算法也是值得关注的创新点。

近期的相关研究包括：'A Survey of Graph Neural Networks'、'Graph Convolutional Networks for Event-driven Time-series Forecasting'、'Deep Learning for Anomaly Detection: A Survey'等。