ResHGNN：基于稀疏残差异构图神经网络的内网威胁检测方案

ResHGNN是一种针对内部威胁检测的深度学习框架，核心是将用户日常活动建模为异构图，结合残差学习保留原始行为特征，同时捕获组织关系中的异常信号，以高效检测内部人员威胁。该方案旨在解决传统方法误报多、漏检隐蔽恶意行为的问题，为网络安全领域提供更智能精准的检测手段。

内部威胁因稀有性（恶意行为占比低）、隐蔽性（与合法行为相似）、复杂性（多维度组织行为关系）成为网络安全棘手问题。传统基于规则的审计或简单异常检测算法易产生大量误报或漏检。ResHGNN将内部威胁检测定义为异构图学习问题，利用组织结构与用户行为的复杂关系，提出新型解决方案。

1. 异构图建模：将用户活动数据建模为包含UserDay（用户日活跃）、Supervisor（监督实体）、User（用户身份）节点及对应边关系的异构图，捕获时间与组织维度信息；2. 残差学习：通过跳跃连接保留原始行为特征，缓解深层GNN过度平滑问题；3. 稀疏性设计：从图结构、消息传递、预测三方面实现稀疏，适应数据不平衡性。

支持GCN、GAT、GraphSAGE等主流GNN骨干网络；提供All_relation（全关系）、Supervision_relation（仅监督）、SameUser_relation（仅身份）三种关系配置；采用K折交叉验证确保结果可靠，早停策略防止过拟合。

使用用户-日期粒度的处理后样本数据（含行为特征、标签、用户/日期/组织信息）；评估指标包括准确率、精确率、召回率、F1分数、AUC，全面衡量模型在不平衡数据集上的性能。

仓库含数据目录、图构建脚本、主检测实验脚本等；快速开始步骤：1.安装依赖（numpy、pandas、torch等）；2.运行图构建脚本；3.执行检测实验；4.汇总结果。

学术贡献：首次整合组织与行为关系到图学习框架，迁移残差学习到图域，提供可复现平台；实际价值：降低误报、提高检测率、增强可解释性；未来方向：序列建模、动态图、多模态融合、联邦学习。

ResHGNN展示了图神经网络在网络安全领域的成功应用，将复杂组织行为转化为结构化图表示，利用深度学习自动学习异常模式。为网络安全、图机器学习、企业风控的研究者和工程师提供完整技术栈与实验框架，可作为进一步研究开发的基础。