公开(公告)号：CN119996045A

公开(公告)日：2025-05-13

申请号：CN202510276489.3

申请日：2025-03-10

Applicant: 燕山大学

Inventor： 王倩 ,  刘翔 ,  张延鹏 ,  王伟陇 ,  刘韩

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/16 ,  G06N3/0475 ,  G06N3/092

Abstract: 本发明公开了一种基于图神经网络和强化学习的APT攻击检测和溯源方法，属于网络安全、多步攻击技术领域，包括以下步骤：采用连续时间动态异构图对系统审计日志中的事件进行建模，通过AGNN生成更具有挑战性的样本，提高样本的质量，使生成的正样本更加复杂且贴近真实的攻击场景；使用对比损失增强对于攻击步骤之间相似性的关注，提升检测攻击行为的能力，在微调阶段，根据样本类型，通过拼接边缘两侧节点的嵌入来获得边缘的嵌入；全连接层将嵌入映射到连接边属于攻击事件的概率，使用加权交叉熵损失函数作为微调目标；利用蒙特卡罗树搜索结合强化学习的方法，对系统中的事件进行逐步溯源。本发明能够更好的进行APT攻击图嵌入特征提取和检测。