本研究评估了无监督的批量式和流式异常检测算法的有效性，通过对记录在四个不同操作系统上的多个 GB 的溯源跟踪进行检测，以确定它们是否能够可靠和高效地检测类似 APT 攻击。这是关于通用无监督异常检测技术在此环境中有效性的首个详细研究。

Jun, 2019

TBDetector is a transformer-based APT detection method that uses provenance analysis to identify anomalous activities in long-running system executions and extracts long-term features of system states with anomaly scores, presenting better performance than current state-of-the-art methods.

Apr, 2023

RAPID 是一种基于深度学习的新型方法，利用上下文感知异常检测和警报追踪来实现强大的高级持续性威胁（APTs）检测和调查，通过利用自我监督的序列学习和迭代学习的嵌入，我们的方法能够有效应对动态系统行为，并且通过使用溯源跟踪，丰富警报信息和提高检测能力，RAPID 在真实场景中证明了其有效性和计算效率，同时相比最先进的方法具有更高的精确度和召回率，显著减少误报，RAPID 整合上下文信息，便于从检测过渡到调查，为安全团队提供详细的见解以高效应对 APTs 威胁。

Jun, 2024

使用深度学习技术，我们开发了一个名为 AE-APT 的工具，用于检测高级持续性威胁，通过一系列的自编码器方法，它在检测和排名异常方面表现出优越性能。

Jun, 2024

本文提出了 TREC 方法，通过利用深度学习技术从溯源图中识别 APT 战术 / 技术，以解决现有方法中粗粒度、缺乏泛化能力的问题，实验结果表明 TREC 在 APT 战术识别方面明显优于现有系统，同时也能有效地识别 APT 技术。

Feb, 2024

MAGIC 是一种新颖灵活的自我监督 APT 检测方法，能够在不同级别的监督下执行多颗粒度检测，通过掩码图表示学习对良性系统实体和行为进行建模，在溯源图上进行高效深度特征提取和结构抽象，通过异常检测方法检测异常系统行为，从而实现系统实体级别和批量日志级 APT 检测，解决了概念漂移问题，并成功应用于广泛的条件和检测场景。在三个广泛使用的数据集上对 MAGIC 进行评估，包括真实世界和模拟攻击。评估结果表明，MAGIC 在所有场景中都取得了有希望的检测结果，并在性能开销上比现有的 APT 检测方法具有巨大优势。

Oct, 2023

通过数据来源分析，UNICORN 应用异常检测方法有效地检测高级持续性威胁（APTs），同时将其建模并利用图形分析技术，以寻找潜在的异常行为，并通过图形草图技术来压缩系统执行，以提高检测效率和准确度。

Jan, 2020

提出了一种基于多模式和多层次特征融合的高级持续性威胁行为者归因方法，该方法利用异构属性图来表征高级威胁报告及其威胁迹象的信息，并提取融合多模式特征以构建全面的节点表示，进而设计多层次的异构图注意力网络来学习高级威胁报告节点的深层隐藏特征，结果表明该方法在归因分析任务中不仅优于现有方法，而且具有良好的可解释性。

Feb, 2024

提出了一个可解释的联邦学习框架，用于在软件定义网络中检测高级持续性威胁，并利用许多训练合作者的本地网络安全知识，使用图神经网络和深度学习模型有效地揭示网络系统中的恶意事件。实验结果表明，该框架可以提高基于机器学习的网络安全系统的可信度和责任，同时保护隐私。

Sep, 2023

本文分析了 APT 型银行僵尸网络的全生命周期，提出了一种多阶段系统，利用人工智能技术和网络数据分析技术检测恶意活动，实验结果显示基于深度学习技术的检测方法相较于基线模型表现更优。

Jul, 2019