[Paper] CyberGFM：Graph Foundation Models用于企业网络中的横向移动检测

Source: arXiv - 2601.05988v1

概述

本文介绍了 CyberGFM，一种新颖的“graph foundation model”，将网络流量视为语言。通过将企业网络中的随机‑walk “sentences” 输入基于 transformer‑based 模型，作者实现了 state‑of‑the‑art lateral‑movement detection，同时将训练成本控制在实际使用可接受的范围内。

关键贡献

• 基于Transformer的图基础模型，从随机游走中学习，将skip‑gram方法的速度与深度语言模型的表达能力相结合。
• 高效的训练流水线，可在普通GPU上运行，避免了传统GNN的大量内存占用。
• 统一的无监督链接预测框架用于异常检测，仅需良性流量进行预训练。
• 实证优势：在三个基准网络异常数据集上，相较于之前的GNN和随机游走基线，在相同模型规模下，平均精度提升最高可达 2× 更高的平均精度。
• 开源友好设计：作者发布了代码和预训练检查点，促进在安全工具中的快速采用。

方法论

1. 图构建 – 企业网络中的每个主机、服务或 IP 都成为一个节点；边表示观察到的良性连接（例如 TCP 流）。边的属性（端口、协议、时间戳）会被存储，但不会直接输入到随机游走生成器中。
2. 随机游走分词 – 使用带偏置的随机游走遍历图（类似 Word2Vec 的“句子”）。每一次游走是一系列节点 ID，亦可交叉插入边类型标记，生成类似文本的语料库。
3. 使用 Transformer 进行预训练 – 采用标准的仅解码器 Transformer（例如 GPT‑2 风格），对游走序列进行 掩码预测（mask‑predict），学习节点和边的上下文嵌入。由于 Transformer 在 GPU 上高度优化，预训练可在单块 16 GB GPU 上在几分钟内完成。
4. 链接预测微调 – 然后在二元链接预测任务上对预训练模型进行微调：给定一对节点，预测是否应存在一条边。无需标记的攻击数据；模型学习“正常”的连通模式。
5. 异常评分 – 推理时，模型对每个观察到的连接给出预测概率。低概率表示异常的横向移动（例如，被攻陷的主机联系了不常见的服务器）。

该流水线完全无监督：预训练和微调均只需良性流量，使其适用于攻击数据稀缺的环境。

结果与发现

• 训练时间：单个 RTX 3090 上约 30 分钟，相比可比的 GNN 超过 4 小时。
• 内存使用：<8 GB GPU 显存，而 GNN 通常超过 16 GB。
• 参数数量：与 12‑层 transformer（约 1 亿）相同，匹配先前最佳 GNN 基线的规模。

这些数据表明，CyberGFM 不仅提升了检测质量，还降低了运行开销。

实际影响

• 快速部署 – 安全团队可以在几小时内对自己的良性流量进行模型训练，然后立即开始标记可疑的横向移动。
• 可扩展到大型企业 – 因为该方法依赖随机游走而不是完整的邻接矩阵，随观测连接数量线性扩展。
• 与现有 SIEM 的集成 – 模型为每个连接输出一个简单的概率分数，可作为新警报类型导入，或馈入风险评分引擎。
• 零标签异常检测 – 无需策划攻击数据集；系统从环境本身学习“正常”行为，降低偏差风险。
• 可扩展至其他基于图的安全问题 – 同一基础模型可微调用于特权提升检测、内部威胁识别，甚至网络拓扑推断。

限制与未来工作

• 边缘特征利用 – 虽然随机游走语料库可以嵌入边缘类型，但更丰富的连续属性（例如字节计数、延迟）尚未直接建模；未来的工作可以将标记化的游走与辅助特征编码器相融合。
• 时间动态 – 当前模型将游走视为静态句子；引入显式的时间感知注意力可能会提升对快速变化攻击的检测能力。
• 在真实生产流量上的评估 – 基准测试基于公开数据集；实际部署可能会遇到噪声或不完整的日志，从而影响游走质量。
• 模型可解释性 – 与大多数基于 Transformer 的检测器一样，解释为何某个特定连接被标记仍具挑战性；添加注意力可视化工具是一个有前景的方向。

总体而言，CyberGFM 展示了现代语言模型技术如何被重新用于网络安全，为开发者和安全工程师提供了更高的检测性能和实用的效率。

作者

• Isaiah J. King
• Bernardo Trindade
• Benjamin Bowman
• H. Howie Huang

论文信息

• arXiv ID: 2601.05988v1
• Categories: cs.CR, cs.LG
• 出版日期: 2026年1月9日
• PDF: 下载 PDF