提出了一个可解释的联邦学习框架，用于在软件定义网络中检测高级持续性威胁，并利用许多训练合作者的本地网络安全知识，使用图神经网络和深度学习模型有效地揭示网络系统中的恶意事件。实验结果表明，该框架可以提高基于机器学习的网络安全系统的可信度和责任，同时保护隐私。

Sep, 2023

提出了一种基于多模式和多层次特征融合的高级持续性威胁行为者归因方法，该方法利用异构属性图来表征高级威胁报告及其威胁迹象的信息，并提取融合多模式特征以构建全面的节点表示，进而设计多层次的异构图注意力网络来学习高级威胁报告节点的深层隐藏特征，结果表明该方法在归因分析任务中不仅优于现有方法，而且具有良好的可解释性。

Feb, 2024

尽管现有分类器的泛化能力不佳，但我们提出了一种基于机器学习的方法来从开放源中收集适当的网络安全信息。我们将三种不同的小数据技术 (转移学习，数据增强和少样本学习) 相结合，训练了一个高质量的分类器，发现 F1 得分比标准训练方法提高了超过 21 个点，比少样本学习的现有方法提高了超过 18 个点。

Jul, 2022

本学术论文提出了一种利用领域知识来改进机器学习模型鲁棒性的方法：通过一阶逻辑规则，将领域知识（如不同预测之间的逻辑关系）整合到概率图模型中，提出了基于领域知识加强的机器学习管道（KEMLP），实证表明相比于其他基线算法，给定额外的弱辅助模型之后，本算法在白盒和黑盒两种情况下都能实现更高的鲁棒性，同时保持高的准确率。

Jun, 2021

该论文介绍了一种基于自适应扰动模式的方法，用于在灰盒情况下生成具有真实性的对抗样本，通过对企业和物联网网络进行案例研究，证明了该方法提供了可扩展的对抗样本生成技术，并在对抗训练和攻击中具有优势。

Mar, 2022

本文提出了一种名为 TRKP 的方法，采用教师 - 学生框架，构建多头教师网络来从标记的源域中提取知识并指导学生网络在未标记的目标域中学习探测器，解决了多源领域适应这一泛化性任务的问题。实验结果表明，该方法有效降低了目标域的领域偏移，提高了检测准确率。

Apr, 2022

本研究提出一种基于元学习和对抗训练的元领域适应框架，用于解决 few-shot 关系分类在跨领域场景中的问题，并在实验中验证了该模型的有效性。

Feb, 2022

MAGIC 是一种新颖灵活的自我监督 APT 检测方法，能够在不同级别的监督下执行多颗粒度检测，通过掩码图表示学习对良性系统实体和行为进行建模，在溯源图上进行高效深度特征提取和结构抽象，通过异常检测方法检测异常系统行为，从而实现系统实体级别和批量日志级 APT 检测，解决了概念漂移问题，并成功应用于广泛的条件和检测场景。在三个广泛使用的数据集上对 MAGIC 进行评估，包括真实世界和模拟攻击。评估结果表明，MAGIC 在所有场景中都取得了有希望的检测结果，并在性能开销上比现有的 APT 检测方法具有巨大优势。

Oct, 2023

RAPID 是一种基于深度学习的新型方法，利用上下文感知异常检测和警报追踪来实现强大的高级持续性威胁（APTs）检测和调查，通过利用自我监督的序列学习和迭代学习的嵌入，我们的方法能够有效应对动态系统行为，并且通过使用溯源跟踪，丰富警报信息和提高检测能力，RAPID 在真实场景中证明了其有效性和计算效率，同时相比最先进的方法具有更高的精确度和召回率，显著减少误报，RAPID 整合上下文信息，便于从检测过渡到调查，为安全团队提供详细的见解以高效应对 APTs 威胁。

Jun, 2024

本文提出了 TREC 方法，通过利用深度学习技术从溯源图中识别 APT 战术 / 技术，以解决现有方法中粗粒度、缺乏泛化能力的问题，实验结果表明 TREC 在 APT 战术识别方面明显优于现有系统，同时也能有效地识别 APT 技术。

Feb, 2024