本研究评估了无监督的批量式和流式异常检测算法的有效性，通过对记录在四个不同操作系统上的多个 GB 的溯源跟踪进行检测，以确定它们是否能够可靠和高效地检测类似 APT 攻击。这是关于通用无监督异常检测技术在此环境中有效性的首个详细研究。

Jun, 2019

该论文介绍了一种利用与操作系统无关的特征来检测真实的高级持续性威胁攻击的无监督方法，并利用可解释性的结果来揭示被检测到的异常，这有助于解释因果关系。在 DARPA 的测试数据集中，该方法的表现优于竞争方法。

May, 2021

RAPID 是一种基于深度学习的新型方法，利用上下文感知异常检测和警报追踪来实现强大的高级持续性威胁（APTs）检测和调查，通过利用自我监督的序列学习和迭代学习的嵌入，我们的方法能够有效应对动态系统行为，并且通过使用溯源跟踪，丰富警报信息和提高检测能力，RAPID 在真实场景中证明了其有效性和计算效率，同时相比最先进的方法具有更高的精确度和召回率，显著减少误报，RAPID 整合上下文信息，便于从检测过渡到调查，为安全团队提供详细的见解以高效应对 APTs 威胁。

Jun, 2024

本文提出了一种名为 LogShield 的框架，利用自注意机制中的自定义嵌入层来检测高级持续性威胁攻击模式，通过集成 RoBERTa 模型的参数和训练程序，并在知名的 APT 数据集上进行了广泛实验证明了 LogShield 在 APT 检测方面的优越性能。

Nov, 2023

使用深度学习技术，我们开发了一个名为 AE-APT 的工具，用于检测高级持续性威胁，通过一系列的自编码器方法，它在检测和排名异常方面表现出优越性能。

Jun, 2024

本文提出了一种用于动态图的基于 Transformer 的异常检测框架 (TADDY)，通过建立全面、信息丰富的节点编码策略和捕捉动态图的时空耦合模式进行节点的异常检测，该方法在六个真实世界数据集上表现优于现有的最先进方法。

Jun, 2021

MAGIC 是一种新颖灵活的自我监督 APT 检测方法，能够在不同级别的监督下执行多颗粒度检测，通过掩码图表示学习对良性系统实体和行为进行建模，在溯源图上进行高效深度特征提取和结构抽象，通过异常检测方法检测异常系统行为，从而实现系统实体级别和批量日志级 APT 检测，解决了概念漂移问题，并成功应用于广泛的条件和检测场景。在三个广泛使用的数据集上对 MAGIC 进行评估，包括真实世界和模拟攻击。评估结果表明，MAGIC 在所有场景中都取得了有希望的检测结果，并在性能开销上比现有的 APT 检测方法具有巨大优势。

Oct, 2023

本文提出了 TREC 方法，通过利用深度学习技术从溯源图中识别 APT 战术 / 技术，以解决现有方法中粗粒度、缺乏泛化能力的问题，实验结果表明 TREC 在 APT 战术识别方面明显优于现有系统，同时也能有效地识别 APT 技术。

Feb, 2024

基于变压器的恶意流量检测算法，在只使用有效载荷字节的情况下，能够有效区分测试数据集中的恶意流量与良性流量，实现了二进制分类的平均准确率为 79% 和多类分类实验的准确率为 72%。

Mar, 2024

提出了一个可解释的联邦学习框架，用于在软件定义网络中检测高级持续性威胁，并利用许多训练合作者的本地网络安全知识，使用图神经网络和深度学习模型有效地揭示网络系统中的恶意事件。实验结果表明，该框架可以提高基于机器学习的网络安全系统的可信度和责任，同时保护隐私。

Sep, 2023