本文介绍了一种基于内存的依赖图抽象实现的攻击行为实时重建系统，采用高效的基于标记的检测和重建技术，包括源识别和影响分析，并通过构建紧凑视觉图表现攻击步骤来揭示攻击行为的大局。在 DARPA 组织的红队评估中，该系统成功检测并重建了在 Windows，FreeBSD 和 Linux 上红队的攻击细节。

Jan, 2018

通过数据来源分析，UNICORN 应用异常检测方法有效地检测高级持续性威胁（APTs），同时将其建模并利用图形分析技术，以寻找潜在的异常行为，并通过图形草图技术来压缩系统执行，以提高检测效率和准确度。

Jan, 2020

研究表明，针对罕见病的特定搜索引擎可以在不损害易用性的前提下提高诊断质量，这为未来的研发和基准制定提供了有价值的方法，借助 FindZebra 这一基于开源搜索技术和策划医疗信息的专用罕见病搜索引擎，我们证实了其在默认设置和针对特定资源的自定义设置下均优于 Google 搜索。

Mar, 2013

KAIROS 是一种基于图神经网络的编码器 - 解码器架构，它学习了溯源图的结构变化的时间演变，以量化每个系统事件的异常程度；基于这些细粒度信息，KAIROS 重构攻击的足迹，在系统审计日志流中生成能准确描述恶意活动的简洁摘要图，使用最先进的基准数据集，我们证明了 KAIROS 优于以前的方法。

Aug, 2023

执法调查、暴力极端主义、自动化工具、反恐是本篇论文的主要关键词和研究领域。本研究针对暴力极端行为的调查模式检测挑战，开发了一种反恐调查模式检测框架（INSPECT），该框架整合了多种计算工具，包括机器学习技术用于识别行为指标，图模式匹配技术用于检测风险配置 / 群体。INSPECT 还自动化了大规模挖掘详细法医传记、形成知识网络，并通过查询行为指标和激进化轨迹来警示新兴威胁。INSPECT 目标是人为调查搜索模式，并已在国内圣战主义的不断演化数据集上进行验证和评估。

Oct, 2023

提出了一种基于 Trie 数据结构和机器学习的日志异常检测框架 SeaLog，实验结果表明 SeaLog 相比基线方法实现更高的准确性和效率，并且可以借助 ChatGPT 等大型语言模型进行异常日志数据的快速反馈和验证。

Jun, 2023

该论文介绍了一种利用与操作系统无关的特征来检测真实的高级持续性威胁攻击的无监督方法，并利用可解释性的结果来揭示被检测到的异常，这有助于解释因果关系。在 DARPA 的测试数据集中，该方法的表现优于竞争方法。

May, 2021

本文介绍了一种使用专业检测器和神经网络来识别威胁和恶意软件的方法，并且使用集成梯度方法来突出表现出威胁的特征行为模式，最后通过大规模数据的实验，探索了卷积神经网络、LSTMs 和变形金刚网络的有效性及无监督预训练技术在检测 njRAT 等恶意软件中的应用。

Jun, 2021

本研究评估了无监督的批量式和流式异常检测算法的有效性，通过对记录在四个不同操作系统上的多个 GB 的溯源跟踪进行检测，以确定它们是否能够可靠和高效地检测类似 APT 攻击。这是关于通用无监督异常检测技术在此环境中有效性的首个详细研究。

Jun, 2019

本文提出了一种基于经验的分类器安全性评估框架，旨在扩展基于经典设计方法的模式分类理论和设计，以应对对策略性破坏。结果表明，安全性评估可以更完整地了解在对抗环境中分类器的行为，从而导致更好的设计选择。

Sep, 2017