在网络流量建模中,图神经网络(GNNs)因其有效性被广泛应用于网络入侵检测系统(NIDSs)。然而,大多数现有的GNN基础NIDS方法主要关注流量的关系结构,并将其视为时间独立的,这限制了它们应对不断演变的攻击行为的能力。此外,它们依赖于监督或半监督学习,往往限制了对未知攻击的泛化能力。为了解决这些问题,我们提出了一种新颖的自监督GNN框架。\n\n根据我们所知,该模型是首批明确利用真实时间戳的自监督GNN基础NIDS模型之一,这为表示学习提供了真实的时间依赖性。我们首先根据网络流量的时间戳构建一系列时序图,然后采用基于E-GraphSAGE和LSTM的编码器,充分提取网络流量的时间信息和空间依赖性,而不引入耗时的注意力机制。\n\n此外,我们引入了一种多视图图对比学习(GCL)方案,其中对时间、空间和特征的对比共同进行,以捕捉时间连续性,保持结构一致性,并提高学习表示的泛化能力和鲁棒性。同时,设计了一种基于梯度范数的自适应加权策略来优化对比损失权重。\n\n在四个具有真实时间戳的代表性NIDS数据集上的实验结果表明,我们的方法显著优于现有的自监督方法,且性能与监督的最先进GNN方法相当,同时保持了高计算效率。\n\n博主点评: 本文提出的时序空间图对比学习方法有效地解决了传统NIDS中对时间依赖性忽视的问题,通过自监督学习提高了模型的泛化能力,具有重要的实用价值与研究意义。其创新的编码器设计和多视图对比学习策略为未来的网络安全研究提供了新的思路。