APT攻击（Advanced Persistent Threat），指黑客组织对目标信息系统进行的高级持续性的网络攻击。APT攻击的主要特点是持续时间长和综合运用多种攻击技术，这使得传统的入侵检测方法难以有效地对其进行检测。现有大多数APT攻击检测系统都是在整理各类领域知识（如ATT＆CK网络攻防知识库）的基础上通过手动设计检测规则来实现的。然而，这种方式智能化水平低，扩展性差，且难以检测未知APT攻击。为此，通过操作系统内核日志来监测系统行为，在此基础上提出了一种基于图神经网络技术的智能APT攻击检测方法。首先，为捕捉APT攻击多样化攻击技术中的上下文关联，将操作系统内核日志中包含的系统实体（如进程、文件、套接字）及其关系建模成一个溯源图（Provenance Graph），并采用异构图学习算法将每个系统实体表征成一个语义向量。然后，为克服APT攻击长期行为造成的图规模爆炸问题，提出了一种从大规模异构图中进行子图采样的方法，在此基础上基于图卷积算法对其中的关键系统实体进行分类。最后，基于两个真实的APT攻击数据集进行了一系列的实验。实验结果表明，提出的APT攻击检测方法的综合性能优于其他基于学习的检测模型以及最先进的基于规则的APT攻击检测系统。