TBDetector is a transformer-based APT detection method that uses provenance analysis to identify anomalous activities in long-running system executions and extracts long-term features of system states with anomaly scores, presenting better performance than current state-of-the-art methods.

Apr, 2023

讨论了机器学习在知识图谱上的应用以及实验评估了一种适用于工业系统的异常活动评分方法。该方法经过无监督训练后，能够在各种场景下生成直观易懂、可解释的警报，为利用知识图谱的关系式机器学习在入侵检测方面带来潜在的好处。

May, 2021

本研究评估了无监督的批量式和流式异常检测算法的有效性，通过对记录在四个不同操作系统上的多个 GB 的溯源跟踪进行检测，以确定它们是否能够可靠和高效地检测类似 APT 攻击。这是关于通用无监督异常检测技术在此环境中有效性的首个详细研究。

Jun, 2019

该论文介绍了一种利用与操作系统无关的特征来检测真实的高级持续性威胁攻击的无监督方法，并利用可解释性的结果来揭示被检测到的异常，这有助于解释因果关系。在 DARPA 的测试数据集中，该方法的表现优于竞争方法。

May, 2021

本文提出了一种使用连续时间贝叶斯网络来检测入侵的通用技术 - 异常检测，并使用根据历史数据生成的生成式模型来标记异常行为。该方法在网络入侵检测系统和主机入侵检测系统中都有应用，并在多个实验数据集上进行了验证。

Jan, 2014

网络安全威胁，安全评估，漏洞分析，攻击利用，攻击路径

Dec, 2023

基于模型的异常检测通过将学习到的时序自动机与系统相关的形式知识图谱相结合，提供了对模型和检测到的异常的更简单的解释和理解，并提出了必要概念的本体论，该方法在一个五罐混合 CPPS 上进行验证，并能正式定义自动机模型和自动机执行的时间异常。

Aug, 2023

本文介绍了一种基于内存的依赖图抽象实现的攻击行为实时重建系统，采用高效的基于标记的检测和重建技术，包括源识别和影响分析，并通过构建紧凑视觉图表现攻击步骤来揭示攻击行为的大局。在 DARPA 组织的红队评估中，该系统成功检测并重建了在 Windows，FreeBSD 和 Linux 上红队的攻击细节。

Jan, 2018

本文介绍了一种形式化的 Provenance 安全框架，探讨在通用程序语言方面的有效性并提出了关于披露和混淆方面的正式定义。研究了针对追踪语义的生产力视角，使用了算法来解决披露和混淆问题。

Oct, 2013

通过在嵌入式的物理网络系统上进行渗透测试，从 Linux 操作系统、网络和 ROS2 服务三个层面监测特征，提出了一种用于入侵检测的时间序列数据集，描述了系统的预期行为及对 ROS2 特定攻击的响应，并允许测量检测攻击者的时间和在检测之前执行的恶意活动数量，以及通过利用正常和攻击操作的交替周期来训练入侵检测器以最小化这两个指标。

Feb, 2024