一种融合多源异构数据的图神经网络联合框架-AET-电子技术应用

一种融合多源异构数据的图神经网络联合框架

网络安全与数据治理

胡开明，陈建华

广东松山职业技术学院

摘要： 针对网络空间攻防对抗呈现出多步骤、隐蔽化、异构化复杂特征，传统依赖规则匹配和统计分析的方法已难以满足精准溯源与实时态势感知需求的问题，提出一种融合多源异构数据的图神经网络联合框架，实现网络攻击的自动化溯源与动态态势感知。首先，通过构建网络实体-攻击行为异构信息网络，整合流量日志、漏洞库、告警信息等多源数据；其次，设计基于注意力机制的时空图卷积网络(ST-GAT)，捕捉攻击行为的时序依赖与节点关联特征；最后，通过攻击路径推理与风险等级量化，形成从攻击溯源到态势评估的闭环。实验基于CTU.13和CSE.CIC.IDS2018数据集验证，结果表明该框架在攻击溯源准确率(92.7%)、态势评估响应时间(≤0.3 s)等指标上显著优于传统方法、近年主流时序GNN 变体及网络安全领域专用模型，为网络安全应急响应提供技术支撑。关键词：；；；；

关键词： 图神经网络网络攻击溯源态势感知异构信息网络时空图卷积

中图分类号：TP393.08文献标志码：ADOI:10.19358/j.issn.2097-1788.2026.04.007
中文引用格式：胡开明，陈建华. 一种融合多源异构数据的图神经网络联合框架［J］.网络安全与数据治理，2026，45（4）：51-58.
英文引用格式：Hu Kaiming，Chen Jianhua. A joint framework of graph neural networks integrating multisource heterogeneous data［J］.Cyber Security and Data Governance，2026，45（4）：51-58.

A joint framework of graph neural networks integrating multisource heterogeneous data

Hu Kaiming，Chen Jianhua

Guangdong Songshan Polytechnic

Abstract： Aiming at the complex characteristics of cyberspace attackdefense confrontation, such as multistep, concealed, and heterogeneous, traditional methods relying on rule matching and statistical analysis can hardly meet the needs of accurate traceability and realtime situation awareness. This paper proposes a joint framework of graph neural networks (GNNs) integrating multisource heterogeneous data to realize automatic traceability of network attacks and dynamic situation awareness. Firstly, a heterogeneous information network (HIN) of network entitiesattack behaviors is constructed to integrate multisource data such as traffic logs, vulnerability databases, and alarm information. Secondly, a spatiotemporal graph attention network (STGAT) based on the attention mechanism is designed to capture the temporal dependence of attack behaviors and the correlation characteristics of nodes. Finally, through attack path reasoning and risk level quantification, a closed loop from attack traceability to situation assessment is formed. Experiments are verified based on the CTU13 and CSECICIDS2018 datasets. The results show that the framework is significantly superior to traditional methods, the mainstream temporal GNN variants and dedicated models in the field of network security in indicators such as attack traceability accuracy (92.7%) and situation assessment response time (≤0.3 s), providing technical support for network security emergency response.

Key words : Graph Neural Network (GNN); network attack traceability; situation awareness; Heterogeneous Information Network (HIN); Spatiotemporal Graph Convolution(SGC)

引言

网络攻击溯源与态势感知作为网络安全防御的核心技术，在威胁检测、应急响应、风险管控等关键场景中具有不可替代的应用价值，是保障关键信息基础设施安全、提升主动防御能力的重要支撑。然而，传统攻击溯源方法主要依赖规则匹配(如Snort规则)［1］、日志关联分析和攻击图推理，存在显著技术局限：规则匹配难以应对未知攻击变体，日志分析受数据质量与完整性影响较大，攻击图推理则面临状态空间爆炸问题［2］；态势感知技术多基于统计学习方法(如SVM、随机森林)［3］，难以捕捉网络实体间的复杂关联关系与攻击行为的时序动态演化特性。随着网络数据规模的指数级增长，多源异构安全数据的融合建模与深层特征提取已成为突破现有技术瓶颈的核心关键。

针对上述问题，现有改进方案多聚焦于规则库迭代、日志预处理优化或攻击图剪枝技术，但这些方法仍未脱离对结构化数据的强依赖，无法有效处理动态变化的攻击场景，且存在智能化程度低、依赖人工干预等固有缺陷。在复杂攻击场景(如高级持续性威胁APT)中，由于攻击路径隐蔽性强、跨节点协同性高，传统方法难以实现攻击行为的完整溯源与态势的实时评估，导致安全响应延迟，无法满足主动防御需求［4］。

近年来，图神经网络(Graph Neural Network,GNN)作为深度学习领域的重要分支，通过将图结构数据与神经网络深度融合，能够自动学习节点与边的高维特征表示，在节点分类、链路预测、路径推理等任务中展现出优异性能［5］，为解决网络安全领域的复杂关联建模问题提供了新路径。GNN具备的端到端学习能力与结构表征优势，能够有效突破传统方法的技术局限，实现多源异构数据的有机融合与攻击模式的智能挖掘。

综合上述研究，本文将GNN技术引入网络攻击溯源与态势感知领域，构建端到端的联合框架，实现从数据建模、特征学习到路径推理与态势评估的全流程优化。本文的贡献总结如下：

(1)提出一种网络实体-攻击行为异构信息网络(EHIN)建模方法，将设备、漏洞、攻击行为等多类型实体抽象为图节点，实体间的关联关系抽象为边，通过规范化公式实现多源异构安全数据的统一表征，解决数据融合难题。

(2)设计融合时序注意力与空间注意力的STGAT模型，完成时序依赖捕捉、空间关联提取、特征融合与路径推理的数学推导，显著提升复杂攻击路径的识别精度与效率。

(3)构建“溯源-评估-预测”三位一体的态势感知体系，基于GNN推理得到的攻击路径计算攻击成功率、影响范围等核心指标，结合网络资产价值量化安全态势，实现动态风险评估与主动防御支撑。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000007059

作者信息：

胡开明，陈建华

(广东松山职业技术学院，广东韶关512126)