摘要

本文介绍了一种名为AE-APT的深度学习工具，用于在高度不平衡的数据集中检测高级持续威胁（APTs）。AE-APT采用了一系列从基本到基于Transformer的AutoEncoder方法，并通过在DARPA透明计算程序生成的来源跟踪数据库上进行评估，展示了其相较于其他方法的显著更高的检测率。该工具能够跨多个操作系统（包括Android、Linux、BSD和Windows）检测和排序异常，显示出在识别APT类模式方面的优越性能。

原理

AE-APT的核心是一系列AutoEncoder模型，包括基础AutoEncoder、对抗性AutoEncoder、循环神经网络AutoEncoder、长短期记忆AutoEncoder、门控循环单元AutoEncoder和基于注意力的AutoEncoder。这些模型通过学习正常活动数据的低维表示，并在解码空间中识别与该表示显著不同的数据点作为异常。特别地，基于注意力的AutoEncoder通过引入注意力机制，能够更有效地聚焦于输入数据的关键部分，从而提高异常检测的准确性和鲁棒性。

流程

AE-APT的工作流程包括训练和评估两个阶段。在训练阶段，每个AutoEncoder模型仅使用标记为正常的数据进行训练，学习正常数据的压缩表示。在评估阶段，模型使用学习到的表示来重建输入数据，并通过重建误差来识别异常。具体示例包括在Linux系统上的Pandex场景中，AE和AAE模型如何通过重建误差来识别和排序异常进程。

应用

AE-APT的应用前景广泛，适用于政府、金融和关键基础设施等多个部门的网络安全防护。其高度准确的APT检测能力使其成为增强防御对抗复杂和持久网络威胁的有力工具。随着进一步的模型优化和数据集扩展，AE-APT有望在实时APT检测和响应中发挥关键作用。