推广 热搜： 采购方式甲带滤芯气动隔膜泵减速机减速机型号带式称重给煤机履带无级变速机链式给煤机

CCS'25：通过图强化学习进行 APT 检测

日期：2025-11-04 03:25:59 来源：网络整理作者：本站编辑评论：0

今天分享一篇CCS 2025 的一篇论文，SLOT: Provenance-Driven APT Detection through Graph
Reinforcement Learning
? 研究背景
高级持续性威胁（APT）是一类针对性强、隐蔽性高、潜伏周期长的复杂网络攻击，攻击者常通过漏洞利用、后门植入等手段长期驻留目标系统，窃取敏感数据或破坏关键设施。抵御这类攻击的核心挑战在于，系统行为中恶意活动常与良性操作交织，且攻击者会模仿正常行为规避检测。
? 现有研究不足
现有基于溯源图的 APT 检测方法可分为三类，均存在局限性：(1) 统计类方法：以罕见事件为可疑指标，仅关注实体间直接交互，忽略因果、上下文等深层语义关系，导致高误报率。(2) 规则类方法：依赖专家设计启发式规则匹配攻击模式，虽然误报率低，但需持续投入专家资源更新规则，无法动态适应新型攻击策略。(3) 学习类方法：使用深度学习技术建模攻击模式和系统行为，虽然能达到较好的性能，但易受对抗攻击的影响。
⭐ 本文方法
论文提出 SLOT 算法，以溯源图挖掘与图强化学习为核心，包含五大协同模块：
❶ 图构建模块：解析系统日志，将进程、文件、网络流等实体抽象为节点，系统调用行为抽象为边，构建初始溯源图，并通过 Word2Vec 模型将进程名、文件路径等语义信息转化为初始特征向量。
❷ 潜在行为挖掘模块：结合注意力机制与图变换技术，自动挖掘多跳事件路径。通过注意力机制从基础系统调用关系中筛选并串联出有意义的多跳路径，最后将所有多跳路径的近似邻接矩阵与初始溯源图的邻接矩阵融合，形成包含 “直接关系 + 潜在路径关系” 的增强型溯源图。
❸ 图强化学习嵌入模块：首先融合节点语义特征与拓扑特征计算相似度；再通过强化学习动态优化邻居选择阈值，过滤伪装节点；最后基于最优阈值聚合多类关系特征，生成鲁棒的节点嵌入向量。
❹ 威胁检测模块：结合半监督多层感知机与无监督孤立森林，MLP 利用 10% 攻击数据辅助学习良性模式，孤立森林识别未知异常，二者协同实现 “良性 - 恶意 - 异常” 三类分类。
❺ 攻击链重构模块：引入 MITRE ATT&CK 框架的 TTP（战术、技术、流程）标签，对节点特征进行编码，再通过标签传播算法（LPA）聚类关联节点，自动生成低误报的攻击路径。
? 实验验证
在真实世界数据集的实验证明了SLOT出色的准确性、效率、适应性和鲁棒性。
❤ 后面我会持续更新相关信息，觉得有用的话可以点赞收藏一波，点个关注不迷路呦
#ccs2025 #论文分享

打赏

更多>同类资讯

0 条相关评论

推荐图文

推荐资讯

点击排行