利用大型语言模型结合系统调用分析，通过重新训练检测恶意系统调用，该研究提出了一种新的框架来改进恶意软件的检测，实验表明具有更大上下文尺寸的模型能够实现更高的准确性和 F1 分数，这一方法在高风险环境中具有实时检测的潜力，为不断演变的网络威胁提供了稳固的解决方案。

May, 2024

该研究提出了一种依赖于系统调用序列的概率分布的新颖性检测方法，并通过引入包含超过 2 百万个具有七种不同行为的内核跟踪的新开源数据集，解决了大规模神经网络训练数据的限制。该方法在大多数新颖之处实现了超过 95% 的 F 值和 AuROC，且数据和任务无关。

Sep, 2023

本研究利用循环神经网络的性能，构建了一个强大的系统调用序列 - 序列预测模型，提出了一种新的入侵预测方法。实验结果表明，该方法在入侵检测测试数据集上取得了良好的预测性能，并通过与各种分类器进行验证，使预测序列与已知调用的系统追踪结合，显著提高了入侵检测的性能。

Aug, 2018

通过对系统遥测数据的深入分析，该研究论文提出了一种集成方法来检测系统故障，并结合了长短期记忆网络、隔离森林、单类支持向量机和局部异常因子等多种机器学习技术，有效识别系统故障，从而提升了计算环境中用户体验和系统可靠性。

Jun, 2024

我们介绍了一种基于大规模预训练的入侵检测系统，通过在数千万条命令行上训练大型语言模型来实现基于人工智能的入侵检测，并在 3000 万个训练样本和 1000 万个测试样本上验证了我们解决方案的有效性。

Apr, 2024

该研究聚焦于风险检测，提出一种智能的深度置信网络机器学习系统，利用文本挖掘和基于图的方法生成目标和创建机器学习的特征，旨在降低假警报率，实验结果表明该系统比其他算法表现更好。

Dec, 2017

我们研究了在 IT 基础设施中的自动入侵检测问题，特别是根据基础设施的连续测量数据来识别攻击开始、攻击类型和攻击者采取的行动序列。我们应用了统计学习方法，包括隐马尔可夫模型（HMM）、长短期记忆（LSTM）和随机森林分类器（RFC），将观测序列映射为预测的攻击行动序列。与大多数相关研究不同的是，我们有丰富的数据来训练模型并评估其预测能力。数据来自我们在一个内部测试平台上运行攻击以模拟 IT 基础设施的跟踪记录。我们的工作的核心是一个机器学习流水线，将来自高维观测空间的测量映射到低维度空间或一组小的观测符号。通过离线和在线场景对入侵进行研究，我们发现 HMM 和 LSTM 都能有效预测攻击的开始时间、攻击类型和攻击行动。如果有足够的训练数据，LSTM 的预测准确率高于 HMM。另外，我们发现我们研究的方法可以受益于由 SNORT 等传统入侵检测系统产生的数据。

Feb, 2024

本研究通过 sigllm 框架探索了大型语言模型在时间序列异常检测方面的应用，包括时间序列转文本处理模块和基于预测的探测方法，并在 11 个数据集上进行了评估，结果显示预测方法在 F1 分数上明显优于提示方法，但与最先进的深度学习模型相比，大型语言模型的性能仍略逊，差距约为 30%。

May, 2024

本文提出了一种新的基于特征选择和集成学习技术的入侵检测框架，使用 NSL-KDD、AWID 和 CIC-IDS2017 数据集进行实验证明，CFS-BA-Ensemble 方法在多个指标下具有更优越的性能。

Apr, 2019

本文提供了两种无监督机器学习方法，用于 PLC 基础 ICS 中的异常检测，分别是加权投票集成方法和使用孤立森林元检测器的堆叠集成方法。研究结果表明，使用孤立森林元检测器的堆叠集成方法在所有性能指标上优于以往的方法，并可以稳健地检测任意 ICS 数据集中的异常。

Feb, 2023