编辑推荐:
针对 APT 攻击知识稀缺、知识图谱稀疏导致传统 KGE 模型性能不佳的问题,研究人员开展 APT 知识图谱嵌入方法研究。提出 APT-ST-AN 模型,结合时空属性推理与对抗负采样。实验表明其 MRR 达 0.589,Hits@10 达 0.673,提升 APT 攻击预测准确性,增强网络安全防御能力。
在网络安全领域,高级持续性威胁(Advanced Persistent Threat,APT)如同隐藏在数字世界的 “潜伏者”,其高复杂性与隐蔽性对传统防御体系构成严峻挑战。现有的知识图谱嵌入(Knowledge Graph Embedding,KGE)技术虽为 APT 攻击预测提供了新方向,但 APT 攻击知识的稀缺性与知识图谱连接的稀疏性,导致模型难以精准捕捉攻击模式,出现知识表示不充分、预测性能受限等问题。如何在数据有限的小范围 APT 知识图谱场景中,提升模型对潜在攻击行为的推理能力,成为亟待突破的关键难题。
为攻克这一挑战,研究人员开展了 APT 知识图谱嵌入优化方法的研究。通过引入时空属性推理与对抗负采样技术,构建了 APT-ST-AN 模型,旨在解决小范围 APT 知识图谱中数据不完整与稀疏的核心问题。该研究成果发表在《Array》,为网络安全防御体系的升级提供了重要理论支撑。
研究人员主要采用了以下关键技术方法:首先,利用 AnyBURL 规则挖掘算法从 APT 知识图谱中提取时空规则,结合公开的网络安全数据集,构建包含时空关系 “next” 的 APT 知识图谱,实现正例扩展;其次,运用快速梯度符号法(FGSM)生成对抗样本作为硬负例,并通过合成示例创建技术混合正负样本,提升负例多样性;最后,通过链接预测任务,采用 Mean Reciprocal Rank(MRR)和 Hits@10指标评估模型性能,对比 TransE、TransH 等七种先进 KGE 模型验证 APT-ST-AN 的有效性。
实验结果与分析
在多个小范围 APT 知识图谱及基准数据集上,APT-ST-AN 展现出显著优势。在 Final-APT-KG 数据集上,其 MRR 达 0.589,Hits@10达 0.673,较最强基线模型 RelaGraph 分别提升 38.3% 和 14.7%。消融实验表明,时空属性推理与对抗负采样具有互补性:仅采用时空属性推理的 APT-ST 模型在 Final-APT-KG 上 MRR 为 0.421,仅采用对抗负采样的 APT-AN 模型 MRR 为 0.408,而两者结合的 APT-ST-AN 模型实现性能最大化。在跨领域的 TF250 和 CDRM 数据集上,APT-ST-AN 同样优于多数基线模型,虽在关系复杂但实体稀疏的 CDRM 上表现稍弱,仍体现出较强的泛化能力。
可视化与攻击推理验证
通过 t-SNE 可视化嵌入表示发现,对抗负采样生成的硬负例(蓝色点)在训练后期显著聚集于正例(红色点)附近,相比均匀采样的负例(灰色点)能提供更有效的梯度信号,验证了其优化模型的机制。在攻击推理可视化实验中,APT-ST-AN 对删除边的预测展现出高准确性,直观证明了其知识挖掘与攻击预测能力。
结论与意义
APT-ST-AN 通过时空属性推理扩展正例、对抗负采样挖掘高质量负例,双管齐下缓解了小范围知识图谱的数据稀疏问题,显著提升了 KGE 模型在 APT 攻击预测中的表达能力与泛化性能。该研究为应对 APT 这类高级网络威胁提供了更精准的预测工具,增强了网络安全系统预判与抵御复杂威胁的能力。未来研究拟结合强化学习动态引导硬负例生成,进一步提升模型对 APT 攻击模式的理解与预测能力,推动主动防御技术的发展。这项工作不仅深化了小范围知识图谱在网络安全领域的应用,更为构建自适应、智能化的防御体系奠定了重要基础。
