在当今日益互联的数字世界中，物联网（IoT）的网络安全变得至关重要。识别潜在威胁和攻击是确保互联网连接安全和数据保密性的关键步骤[1]。用于识别威胁的主要工具之一是网络入侵检测系统（NIDS），它旨在持续监控网络流量以检测任何敌对活动[2]。随着网络威胁的演变和现代网络的复杂性，传统的基于规则的NIDS方法难以跟上步伐。这促使研究人员将重点转向基于人工智能的NIDS，这些系统使用异常检测或训练强大的分类器。

尽管机器学习（ML）和深度学习（DL）模型已经取得了显著成果[3]，但它们仅限于孤立地检查每个流量或作为短时间序列的一部分进行检测。如果不探索设备及其在网络中的连接之间的关系模式，这些模型对结构化攻击将毫无察觉，而这些攻击在单个流量层面可能看起来是良性的[4]。为了解决这一挑战，图机器学习被用来为模型提供更广阔的视角。一个针对图形数据设计的深度学习模型子领域——图神经网络（GNNs）应运而生。基于GNN的NIDS由于能够探索图中的关系模式，在与其他DL模型相比时展现了最先进的结果[5]。图神经网络（GNNs）设计用于直接处理图结构化数据，其中节点代表实体，边表示它们之间的关系[6]。通过消息传递方法，每个节点从其邻居那里收集信息，并用其特征及其连接提供的上下文更新自己的表示。这一迭代过程使GNNs能够学习出反映其在图中位置的高维节点表示。在网络流量数据中，可以构建一个图，其中设备是节点，它们之间的流量是边。将GNNs应用于这样的图可以有效地捕捉复杂交互，使其成为网络入侵检测系统的强大工具[7]。例如，GNN模型在检测PortScan攻击方面表现更好，攻击者通过这种攻击来识别开放的端口和脆弱的服务。GNN有多种架构，其中两种广泛采用的是GraphSAGE（Graph SAmple and AggreGatE）[8]和图注意力网络（GAT）[9]。GraphSAGE利用邻居采样技术在大图中实现可扩展的学习，并训练一个聚合函数以确保归纳性的节点嵌入。另一方面，GAT利用注意力机制为相邻节点赋予权重。

将图神经网络（GNNs）应用于网络入侵检测系统（NIDS）已经显示出比传统深度学习模型更优越的性能，特别是因为物联网数据可以自然地被建模为图。然而，现有文献缺乏系统性的研究，以确定哪种GNN架构最适合给定的物联网网络，这取决于其拓扑属性。

我们的贡献有两个方面。首先，我们解决了标准GNN架构（通常是节点中心的）与NIDS要求（以边为中心）之间的不匹配问题。虽然之前已经提出了E-GraphSAGE[10]来将GraphSAGE适配用于NIDS，但我们的工作更进一步，引入了E-GAT，这是一种新的以边为中心的图注意力网络变体。这种适配并非简单，需要重新设计关键架构组件，包括基于相邻边特征重新制定边注意力机制以及修改消息传递和聚合过程。

其次，我们提出了一个基于规则的选择框架，根据物联网网络的图属性动态选择最合适的GNN架构（无论是利用注意力机制的E-GAT，还是采用邻居采样机制的E-GraphSAGE）。这种选择基于两个关键指标，这两个指标反映了网络的结构和安全特性：度中心性熵和攻击者比例。这些指标在节点层面计算，并被选中是因为它们直接影响两种GNN机制的相对性能。我们的框架在训练之前进行这种选择，确保了部署的便捷性、检测性能的提升以及完全的可解释性。基于规则的方法保证了透明度，并避免了训练或推理期间动态切换带来的额外复杂性。与需要大量训练时间和计算资源来探索大型设计空间的神经架构搜索方法不同。需要注意的是，其他GNN变体，如GCN、GIN和图变换器，由于在基于边的入侵检测任务中的理论和实践不兼容性，未包含在本研究中。

我们在本文中的贡献包括：

我们通过广泛的实验验证了我们的框架，比较了九个不同数据集中的不同GNN配置。结果表明，我们的基于规则的选择方法不仅提高了网络入侵检测的有效性，而且在必要时还降低了计算成本。

本文的其余部分组织如下：第2节回顾了相关工作。第3节详细介绍了所使用的模型以及我们的方法和选择算法。第4节展示了实验评估，第5节对本文进行了总结。