本研究评估了无监督的批量式和流式异常检测算法的有效性，通过对记录在四个不同操作系统上的多个 GB 的溯源跟踪进行检测，以确定它们是否能够可靠和高效地检测类似 APT 攻击。这是关于通用无监督异常检测技术在此环境中有效性的首个详细研究。

Jun, 2019

该论文介绍了一种利用与操作系统无关的特征来检测真实的高级持续性威胁攻击的无监督方法，并利用可解释性的结果来揭示被检测到的异常，这有助于解释因果关系。在 DARPA 的测试数据集中，该方法的表现优于竞争方法。

May, 2021

TBDetector is a transformer-based APT detection method that uses provenance analysis to identify anomalous activities in long-running system executions and extracts long-term features of system states with anomaly scores, presenting better performance than current state-of-the-art methods.

Apr, 2023

通过对日志数据进行自然语言处理并利用先前训练的语言模型，提出了一种基于文本相似度的快速异常检测模型 RAPID，采用检索法技术进行测试日志与正常日志的对比，无需针对日志数据进行训练，能够实现实时检测，且在特定数据集上具有最好的性能表现。

Nov, 2023

MAGIC 是一种新颖灵活的自我监督 APT 检测方法，能够在不同级别的监督下执行多颗粒度检测，通过掩码图表示学习对良性系统实体和行为进行建模，在溯源图上进行高效深度特征提取和结构抽象，通过异常检测方法检测异常系统行为，从而实现系统实体级别和批量日志级 APT 检测，解决了概念漂移问题，并成功应用于广泛的条件和检测场景。在三个广泛使用的数据集上对 MAGIC 进行评估，包括真实世界和模拟攻击。评估结果表明，MAGIC 在所有场景中都取得了有希望的检测结果，并在性能开销上比现有的 APT 检测方法具有巨大优势。

Oct, 2023

RAPID 是一个用于时间序列分类的深度递归神经网络工具，可自动从初始警报的一天内到完整光度曲线的整个生命周期内识别瞬变现象，并且无需从数据中提取计算量昂贵的特征，因此非常适合处理 ZTF 和 LSST 等广域巡天发现的数百万警报。

Mar, 2019

使用深度学习技术，我们开发了一个名为 AE-APT 的工具，用于检测高级持续性威胁，通过一系列的自编码器方法，它在检测和排名异常方面表现出优越性能。

Jun, 2024

本文提出了 TREC 方法，通过利用深度学习技术从溯源图中识别 APT 战术 / 技术，以解决现有方法中粗粒度、缺乏泛化能力的问题，实验结果表明 TREC 在 APT 战术识别方面明显优于现有系统，同时也能有效地识别 APT 技术。

Feb, 2024

提出了一个可解释的联邦学习框架，用于在软件定义网络中检测高级持续性威胁，并利用许多训练合作者的本地网络安全知识，使用图神经网络和深度学习模型有效地揭示网络系统中的恶意事件。实验结果表明，该框架可以提高基于机器学习的网络安全系统的可信度和责任，同时保护隐私。

Sep, 2023

本文提出了一种针对 APT 的上下文感知防御方案 FMKR，通过元学习在不同的网络领域生成多个小型任务，将威胁情报和本地实体融合成元学习的支持 / 查询集，以识别可能的攻击阶段，同时提出了基于微调的部署机制在最小化防御成本的同时将学习的知识转移给学生模型，与多模型替换策略相比，FMKR 能更快地响应攻击行为，且调度成本更低，实验结果表明该方案可以提高对工业物联网的防御满意度。

Jun, 2023