随着计算机网络的高速发展,互联网安全问题日益突出。入侵检测是网络安全领域的一个重要方向,是应对各类网络安全问题的重要手段。当出现入侵时,溯源数据能够记录入侵进程和受篡改文件之间的关系,适合用来进行入侵检测。针对现有基于溯源的入侵检测在入侵检测精确率与效率方面存在的不足,对异构图注意力网络（Heterogeneous graph attention network,HAN）进行改进,提出了一种新颖的异构图注意力网络入侵检测系统（Intrusion Detection System-Heterogeneous Graph Attentio Network,IDS-HGAT）。该系统由并行IDS-HGAT溯源收集及预处理模块、Redis存储模块以及并行IDS-HGAT入侵检测模块组成。其中,并行IDS-HGAT溯源收集及预处理模块使用多个溯源收集进程收集溯源数据,并根据溯源数据的特点删去与入侵检测无关的信息,将溯源图构造成一个包含节点特征、边和标签的对象;Redis存储模块使用Stream类型构建消息队列以支持并行存储与获取溯源数据,并且通过使用特定的格式存储图结构,大大减少了存取溯源数据时Redis数据库的读写次数;并行IDS-HGAT入侵检测模块首先使用溯源数据训练集,训练出一个利用了分层注意力机制的IDS-HGAT模型,该模型同时考虑了溯源图中节点的语义信息和溯源图的结构信息,提高了基于溯源的入侵检测的精确性。然后,开启多个进程并行地从Redis中读取溯源图,并使用该模型进行入侵检测,提高了基于溯源的入侵检测的检测效率。实验结果表明,IDS-HGAT入侵检测系统在所收集的四种数据集上的检测查准率均接近100%,误检率保持在7.2%以下,整体优于UNICORN入侵检测系统和GAT入侵检测系统。另外,IDS-HGAT时间开销对比UNICORN减少了约90.2～99.3%。