CyberGFM: Graph Foundation Models for Lateral Movement Detection in Enterprise Networks
作者: Isaiah J. King, Bernardo Trindade, Benjamin Bowman, H. Howie Huang
分类: cs.CR, cs.LG
发布日期: 2026-01-09
备注: 17 pages; 11 figures; 8 tables
💡 一句话要点
CyberGFM:利用图基础模型检测企业网络中的横向移动
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 图神经网络 图基础模型 网络异常检测 横向移动检测 Transformer 链接预测 随机游走
📋 核心要点
- 现有网络异常检测方法在处理大规模企业网络时,面临着无法有效利用边数据或训练成本过高的挑战。
- CyberGFM将网络中的随机游走视为句子,利用Transformer架构训练图基础模型,从而高效地学习网络连接的语义表示。
- 实验表明,CyberGFM在网络异常检测任务上取得了显著的性能提升,平均精度提高了高达2倍,优于现有方法。
📝 摘要(中文)
本文提出了一种基于图基础模型(Graph Foundation Model, GFM)的网络异常检测方法,用于检测企业网络中的横向移动。该方法将网络表示为图,并利用良性连接训练链接预测模型,从而实现基于异常的入侵检测。现有方法或无法有效利用丰富的边数据(随机游走方法),或需要大量内存进行训练(基于图神经网络的方法)。CyberGFM通过将随机游走类比于语料库中的句子,并利用Transformer架构的优势,快速训练图基础模型来预测随机游走中的缺失token。该模型经过微调后用于链接预测,并作为网络异常检测器。实验结果表明,CyberGFM在三个广泛使用的网络异常检测数据集上取得了最先进的结果,平均精度提高了高达2倍。CyberGFM在无监督链接预测方面优于所有先前工作,且参数量相同,效率更高。
🔬 方法详解
问题定义:论文旨在解决企业网络中横向移动检测的问题。现有基于随机游走的方法无法有效利用丰富的边数据,而基于图神经网络的方法需要大量的内存进行训练,限制了其在大规模网络中的应用。
核心思路:论文的核心思路是将网络中的随机游走类比于自然语言处理中的句子,从而可以利用预训练的语言模型来学习网络连接的表示。通过预测随机游走中的缺失token,模型可以学习到网络连接的语义信息,从而用于异常检测。
技术框架:CyberGFM的整体框架包括以下几个阶段:1) 将企业网络表示为图;2) 在图上进行随机游走,生成类似于句子的序列;3) 使用Transformer架构的语言模型(图基础模型)训练模型,使其能够预测随机游走中的缺失token;4) 对图基础模型进行微调,用于链接预测;5) 使用微调后的模型进行网络异常检测。
关键创新:该方法最重要的创新点在于将图结构数据与自然语言处理中的Transformer架构相结合,利用Transformer强大的表示学习能力来学习网络连接的语义信息。与传统的随机游走方法相比,该方法可以更好地利用边数据;与图神经网络相比,该方法训练效率更高,需要的内存更少。
关键设计:论文中使用了Transformer架构作为图基础模型,并采用了Masked Language Modeling (MLM) 的训练方式,即随机mask掉随机游走序列中的一些token,然后让模型预测这些被mask掉的token。损失函数为交叉熵损失函数,用于衡量模型预测结果与真实token之间的差异。具体的Transformer架构参数(如层数、隐藏层大小、注意力头数等)需要根据具体数据集进行调整。
📊 实验亮点
CyberGFM在三个广泛使用的网络异常检测数据集上取得了最先进的结果,平均精度提高了高达2倍。与现有方法相比,CyberGFM在参数量相同的情况下,取得了更好的性能,并且训练效率更高,需要的内存更少。这些实验结果表明,CyberGFM是一种有效的网络异常检测方法。
🎯 应用场景
CyberGFM可应用于企业网络安全领域,用于检测恶意攻击者在网络中的横向移动,从而及时发现和阻止潜在的安全威胁。该方法还可以扩展到其他图结构数据分析领域,如社交网络分析、知识图谱推理等,具有广泛的应用前景。
📄 摘要(原文)
Representing networks as a graph and training a link prediction model using benign connections is an effective method of anomaly-based intrusion detection. Existing works using this technique have shown great success using temporal graph neural networks and skip-gram-based approaches on random walks. However, random walk-based approaches are unable to incorporate rich edge data, while the GNN-based approaches require large amounts of memory to train. In this work, we propose extending the original insight from random walk-based skip-grams--that random walks through a graph are analogous to sentences in a corpus--to the more modern transformer-based foundation models. Using language models that take advantage of GPU optimizations, we can quickly train a graph foundation model to predict missing tokens in random walks through a network of computers. The graph foundation model is then finetuned for link prediction and used as a network anomaly detector. This new approach allows us to combine the efficiency of random walk-based methods and the rich semantic representation of deep learning methods. This system, which we call CyberGFM, achieved state-of-the-art results on three widely used network anomaly detection datasets, delivering a up to 2$\times$ improvement in average precision. We found that CyberGFM outperforms all prior works in unsupervised link prediction for network anomaly detection, using the same number of parameters, and with equal or better efficiency than the previous best approaches.