arXiv:2408.16021v2 通告类型: replace-cross 摘要：在快速发展的网络安全领域，将流级和包级信息结合用于实时入侵检测的研究仍是一个未充分探索的领域。本文介绍了一种名为“XG-NID”的新型框架，据我们所知，这是首个在异构图结构中融合流级和包级数据的框架，提供了对网络流量的全面分析。利用带有图级分类的异构图神经网络（GNN），XG-NID独特地实现了实时推理，并有效地捕捉了流和包载荷数据之间的复杂关系。与主要分析历史数据的传统GNN方法不同，XG-NID旨在适应网络流量的异质性，提供一种强健且实时的防护机制。我们的框架不仅仅局限于分类；它还结合了大型语言模型（LLMs）生成详细、易于理解的解释，并建议可能的补救措施，确保产生的洞察既可行又易于理解。此外，我们还引入了一组基于时间信息的新流特征，进一步增强了我们模型提供的上下文和可解释性推理。为了便于实际应用和访问，我们开发了“GNN4ID”，一个开源工具，它可以提取并转换原始网络流量到所提议的异构图结构，无缝集成流和包级数据。我们全面的定量对比分析表明，XG-NID在多类分类中实现了97%的F1分数，超过了现有基准和最先进的方法。这通过将创新的数据融合与增强的可解释性和实时能力相结合，为网络入侵检测系统设定了新的标准。