Self-Supervised Learning of Graph Representations for Network Intrusion Detection
2509.16625v1
cs.LG, cs.CR
2025-09-24
Авторы:
Lorenzo Guerra, Thomas Chapuis, Guillaume Duc, Pavlo Mozharovskyi, Van-Tam Nguyen
Резюме на русском
#### Контекст
В современной сетевой безопасности одной из основных задач является обнаружение вторжений (network intrusion detection). Эта задача становится все более сложной из-за постоянно изменяющихся атак и ограниченного количества меток для обучения. Особенностью этой области является необходимость учитывать сложные структуры сетевых трафиков, которые часто описываются в виде графов. Решения, основанные на графовых нейронных сетях (GNN), позволяют обнаруживать аномалии, однако часто разделяют процесс обучения представлений от поиска аномалий, что ухудшает эффективность. Наша модель GraphIDS призвана решить эту проблему, объединив обучение представлений и обнаружение аномалий в единой структуре.
#### Метод
Мы предлагаем GraphIDS — модель, основанную на самосупервизионном обучении (self-supervised learning), которая объединяет обучение представлений и обнаружение аномалий в одном потоке. Модель использует маскованный автоэнкодер для извлечения локальных представлений графов, определяющих нормальные сетевые паттерны. Для этого она применяет графовую архитектуру с индуктивным обучением, которая учитывает локальный топологический контекст для каждого трафикового потока. Для реконструкции этих представлений используется трансформер-подобная сеть, которая строит глобальные представления сети, используя самоп paшивание (self-attention) для выявления глобальных коо-премотений без необходимости явной позиционной информации. Эта модель выделяет подозрительные потоки с помощью высокой ошибки реконструкции.
#### Результаты
Мы проверили GraphIDS на нескольких бенчмарках сетевых потоков (NetFlow), включающих различные виды атак. Модель показала высокую точность и сенситивность в обнаружении аномалий. Она достигла показателей PR-AUC до 99.98% и F1-score до 99.61%, превосходя существующие решения на 5-25 процентных единиц. Эти результаты указывают на эффективность GraphIDS в обнаружении различных видов атак, включая незнакомые.
#### Значимость
Наша модель может быть применена в различных сценариях безопасности сети, в том числе для мониторинга трафика в реальном времени. Основные преимущества GraphIDS заключаются в единой структуре обучения для обработки графов и обнаружения аномалий, что позволяет обнаруживать атаки более точно. Это может существенно повысить эффективность систем безопасности, снизить затраты на обучение и улучшить защиту от новых атак.
#### Выводы
Мы представили GraphIDS — модель самосупервизионного обучения для обнаружения вторжений в сетях. Она объединяет обучение представлений и поиск аномалий в единой структуре, повышая точность и эффективность. Наши результаты показали существ
Abstract
Detecting intrusions in network traffic is a challenging task, particularly
under limited supervision and constantly evolving attack patterns. While recent
works have leveraged graph neural networks for network intrusion detection,
they often decouple representation learning from anomaly detection, limiting
the utility of the embeddings for identifying attacks. We propose GraphIDS, a
self-supervised intrusion detection model that unifies these two stages by
learning local graph representations of normal communication patterns through a
masked autoencoder. An inductive graph neural network embeds each flow with its
local topological context to capture typical network behavior, while a
Transformer-based encoder-decoder reconstructs these embeddings, implicitly
learning global co-occurrence patterns via self-attention without requiring
explicit positional information. During inference, flows with unusually high
reconstruction errors are flagged as potential intrusions. This end-to-end
framework ensures that embeddings are directly optimized for the downstream
task, facilitating the recognition of malicious traffic. On diverse NetFlow
benchmarks, GraphIDS achieves up to 99.98% PR-AUC and 99.61% macro F1-score,
outperforming baselines by 5-25 percentage points.
Ссылки и действия
Дополнительные ресурсы: