AlertStar: Path-Aware Alert Prediction on Hyper-Relational Knowledge Graphs
作者: Zahra Makki Nayeri, Mohsen Rezvani
分类: cs.CR, cs.AI
发布日期: 2026-04-06
💡 一句话要点
AlertStar:基于超关系知识图谱的路径感知警报预测
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 知识图谱补全 网络安全 入侵检测 超关系数据 路径推理
📋 核心要点
- 现有网络入侵检测方法缺乏对攻击者-受害者交互进行路径推理的语义深度,难以应对日益复杂的网络攻击。
- 论文提出将网络警报建模为超关系知识图谱,并利用限定语句(h, r, t, Q)来表示警报,其中Q包含丰富的上下文信息。
- AlertStar及其变体在Warden和UNSW-NB15数据集上表现出色,证明局部限定符融合比全局路径传播更有效。
📝 摘要(中文)
网络攻击的规模和复杂性不断增长,但现有的网络入侵检测方法缺乏对攻击者-受害者交互进行路径推理所需的语义深度。本文通过将网络警报建模为知识图谱来解决这个问题,然后将超关系警报预测形式化为超关系知识图谱补全(HR-KGC)问题,将每个网络警报表示为一个限定语句(h, r, t, Q),其中h和t是源IP和目标IP,r表示攻击类型,Q编码流级别的元数据,例如时间戳、端口、协议和攻击强度,超越了标准的KGC二元组(h, r, t),后者会丢弃这种上下文丰富性。本文提出了五个模型,包括:Hyper-relational Neural Bellman-Ford (HR-NBFNet),它将Neural Bellman-Ford Networks扩展到具有限定符感知多跳路径推理的超关系设置;AlertStar,通过交叉注意力和学习的路径组合,完全在嵌入空间中融合限定符上下文和结构路径信息;HR-NBFNet-CQ,扩展了限定符感知表示,以回答复杂的一阶逻辑查询,从而实现对警报知识图谱的多条件威胁推理。在Warden和UNSW-NB15基准数据集上进行归纳评估,结果表明AlertStar和MT-AlertStar实现了卓越的MR、MRR和Hits@k,证明局部限定符融合对于超关系警报预测来说既充分又比全局路径传播更有效。
🔬 方法详解
问题定义:论文旨在解决网络入侵检测中,现有方法缺乏对攻击者-受害者交互进行深层语义推理的问题。现有方法通常忽略了警报的上下文信息,例如时间戳、端口和协议等,导致无法准确预测潜在的网络攻击路径。
核心思路:论文的核心思路是将网络警报建模为超关系知识图谱,并利用知识图谱补全技术来预测未来的警报。通过引入限定符(Qualifiers)来丰富知识图谱中关系的信息,从而实现更精确的路径推理。
技术框架:论文提出了多个模型,包括:1) HR-NBFNet:扩展了Neural Bellman-Ford Networks到超关系知识图谱,进行多跳路径推理。2) MT-HR-NBFNet:HR-NBFNet的多任务变体,同时预测尾实体、关系和限定符的值。3) AlertStar:通过交叉注意力机制融合限定符上下文和结构路径信息。4) MT-AlertStar:AlertStar的多任务变体,避免了全局知识图谱传播的开销。5) HR-NBFNet-CQ:扩展了限定符感知表示,以支持复杂的一阶逻辑查询。
关键创新:论文的关键创新在于将超关系知识图谱补全技术应用于网络警报预测,并提出了多种融合限定符信息的模型。AlertStar通过局部限定符融合,在保证性能的同时,提高了效率。HR-NBFNet-CQ能够支持复杂的一阶逻辑查询,从而实现多条件威胁推理。
关键设计:AlertStar使用交叉注意力机制来融合限定符上下文和结构路径信息。损失函数的设计考虑了多任务学习的需求,例如MT-HR-NBFNet和MT-AlertStar同时预测尾实体、关系和限定符的值。HR-NBFNet-CQ使用 qualifier-aware 的表示方法来处理复杂查询。
🖼️ 关键图片
📊 实验亮点
实验结果表明,AlertStar和MT-AlertStar在Warden和UNSW-NB15数据集上取得了优于现有方法的性能。例如,AlertStar在某些指标上比基线模型提高了显著的百分比,证明了局部限定符融合的有效性。此外,MT-AlertStar在保持性能的同时,降低了计算开销。
🎯 应用场景
该研究成果可应用于网络安全领域,帮助安全分析师更准确地预测潜在的网络攻击,并及时采取防御措施。通过对网络警报进行深层语义推理,可以提高网络入侵检测系统的准确性和效率,从而降低网络安全风险。该技术还可用于构建智能安全运营中心(SOC),实现自动化威胁检测和响应。
📄 摘要(原文)
Cyber-attacks continue to grow in scale and sophistication, yet existing network intrusion detection approaches lack the semantic depth required for path reasoning over attacker-victim interactions. We address this by first modelling network alerts as a knowledge graph, then formulating hyper-relational alert prediction as a hyper-relational knowledge graph completion (HR-KGC) problem, representing each network alert as a qualified statement (h, r, t, Q), where h and t are source and destination IPs, r denotes the attack type, and Q encodes flow-level metadata such as timestamps, ports, protocols, and attack intensity, going beyond standard KGC binary triples (h, r, t) that would discard this contextual richness. We introduce five models across three contributions: first, Hyper-relational Neural Bellman-Ford (HR-NBFNet) extends Neural Bellman-Ford Networks to the hyper-relational setting with qualifier-aware multi-hop path reasoning, while its multi-task variant MT-HR-NBFNet jointly predicts tail, relation, and qualifier-value within a single traversal pass; second, AlertStar fuses qualifier context and structural path information entirely in embedding space via cross-attention and learned path composition, and its multi-task extension MT-AlertStar eliminates the overhead of full knowledge graph propagation; third, HR-NBFNet-CQ extends qualifier-aware representations to answer complex first-order logic queries, including one-hop, two-hop chain, two-anchor intersection, and union, enabling multi-condition threat reasoning over the alert knowledge graph. Evaluated inductively on the Warden and UNSW-NB15 benchmarks across three qualifier-density regimes, AlertStar and MT-AlertStar achieve superior MR, MRR, and Hits@k, demonstrating that local qualifier fusion is both sufficient and more efficient than global path propagation for hyper-relational alert prediction.