本研究提出了一个名为 MTAA 的多任务学习框架，可以同时识别攻击算法、受害模型和超参数三个签名，并使用不确定性加权损失来调整权重，从而提高该框架对于误报的处理能力。

Feb, 2023

提出了一种模块化架构作为当前整体自动化方法的一种替代方案，这种解决方案可以利用意见库来组合各种属性者的输出，以增加威胁归因问题的可追踪性，并提供更高的可用性和可解释性。此外，通过实验证明，模块化方法不会导致性能下降，甚至可以提高精度和召回率，并且 Pairing Aggregator 可以改善线性和对数意见库的精度。改进的实验中的 k-accuracy 表明，鉴证专家可以利用生成的概率质量函数来提高其归因过程的效率。

Jan, 2024

本文提出了一种针对 APT 的上下文感知防御方案 FMKR，通过元学习在不同的网络领域生成多个小型任务，将威胁情报和本地实体融合成元学习的支持 / 查询集，以识别可能的攻击阶段，同时提出了基于微调的部署机制在最小化防御成本的同时将学习的知识转移给学生模型，与多模型替换策略相比，FMKR 能更快地响应攻击行为，且调度成本更低，实验结果表明该方案可以提高对工业物联网的防御满意度。

Jun, 2023

TBDetector is a transformer-based APT detection method that uses provenance analysis to identify anomalous activities in long-running system executions and extracts long-term features of system states with anomaly scores, presenting better performance than current state-of-the-art methods.

Apr, 2023

该论文介绍了一种利用与操作系统无关的特征来检测真实的高级持续性威胁攻击的无监督方法，并利用可解释性的结果来揭示被检测到的异常，这有助于解释因果关系。在 DARPA 的测试数据集中，该方法的表现优于竞争方法。

May, 2021

通过实证评估攻击模式和高级威胁指标在网络威胁归因中的有效性，实验结果表明，相比于低级威胁指标训练模型 40% 的准确率，高级威胁指标训练模型能够以 95% 的准确率有效进行网络攻击归因。

Jul, 2023

提出了一个可解释的联邦学习框架，用于在软件定义网络中检测高级持续性威胁，并利用许多训练合作者的本地网络安全知识，使用图神经网络和深度学习模型有效地揭示网络系统中的恶意事件。实验结果表明，该框架可以提高基于机器学习的网络安全系统的可信度和责任，同时保护隐私。

Sep, 2023

MAGIC 是一种新颖灵活的自我监督 APT 检测方法，能够在不同级别的监督下执行多颗粒度检测，通过掩码图表示学习对良性系统实体和行为进行建模，在溯源图上进行高效深度特征提取和结构抽象，通过异常检测方法检测异常系统行为，从而实现系统实体级别和批量日志级 APT 检测，解决了概念漂移问题，并成功应用于广泛的条件和检测场景。在三个广泛使用的数据集上对 MAGIC 进行评估，包括真实世界和模拟攻击。评估结果表明，MAGIC 在所有场景中都取得了有希望的检测结果，并在性能开销上比现有的 APT 检测方法具有巨大优势。

Oct, 2023

本文提出了一种基于深度神经网络特征的模型对抗性样本检测方法，并在多项实验中实现优异性能，尤其能有效检测攻击方法间的转换与混合置信水平的攻击样本。

Jun, 2019

使用深度学习技术，我们开发了一个名为 AE-APT 的工具，用于检测高级持续性威胁，通过一系列的自编码器方法，它在检测和排名异常方面表现出优越性能。

Jun, 2024