摘要
横向移动是高级持续性威胁(Advanced Persistent Threats, APTs)在系统渗透过程中一个关键阶段,其检测极具挑战性。当网络主机日志被抽象为离散的时间图(temporal graphs)时,该问题可重新表述为动态网络中的异常边检测任务。当前深度图学习技术的研究已为此任务提出了众多创新且复杂的模型。然而,如同机器学习领域的普遍情况,模型的通用性在训练与推理过程中的准确性与可扩展性方面具有至关重要的作用。本文提出一种形式化解决方案,构建了一个名为EULER的框架。该框架采用一种与具体模型无关的图神经网络(Graph Neural Network),并将其堆叠在一种与模型无关的序列编码层之上,例如循环神经网络(Recurrent Neural Network)。基于EULER框架构建的模型,能够轻松地将图卷积层分布到多台机器上,从而实现显著的性能提升。此外,我们验证表明,基于EULER的模型在异常链接检测与预测任务中,性能可与当前最先进的方法相媲美,甚至更优。作为基于异常的入侵检测系统,EULER模型能够以高精度高效识别实体间的异常连接,在异常横向移动检测方面,显著优于多种现有的无监督技术。