基于超图Transformer的APT攻击威胁狩猎网络模型

针对物联网环境中高级持续性威胁（APT）具有隐蔽性强、持续时间长、更新迭代快等特点，传统被动检测模型难以对其进行有效搜寻的问题，提出了一种基于超图Transformer的APT攻击威胁狩猎（HTTN）模型，能够在时间跨度长、信息隐蔽复杂的物联网系统中快速定位和发现APT攻击痕迹。该模型首先将输入的网络威胁情报（CTI）日志图和物联网系统内核审计日志图编码为超图，经超图神经网络（HGNN）层计算日志图的全局信息和节点特征；然后由Transformer编码器提取超边位置特征；最后对超边进行匹配计算相似度分数，从而实现物联网系统网络环境下APT攻击的威胁狩猎。在物联网仿真环境下的实验结果表明，提出的HTTN模型与目前主流的图匹配神经网络相比均方误差降低约20%,Spearman等级相关系数提升约0.8%，匹配精度提升约1.2%。