ProvG-Searcher 提出了三阶段的图划分方案及图缩减方法，实现了基于 GNN 的子图匹配算法，梳理并解决了威胁狩猎实践中的几个关键挑战。最近对其进行了简要阅读和学习，对我认为重点的部分做了笔记。

使用注意力机制挖掘潜在重点行为，建立边以增强图表示；首次将强化学习引入溯源图分析，采用强化学习进行邻居选择，在抵御对抗方面效果明显。

MAGIC 是「图学习+嵌入向量范式」的节点级别溯源图 HIDS，设计图注意力网络（GAT）和掩码图学习，通过对节点类别和边存在性的重构，来引导模型从良性数据上学习一个编码器。随后采样良性节点进行编码，并计算 KNN 平均距离作为良性基线。检测阶段对亦节点进行编码嵌入，KNN 寻找良性节点邻居并计算平均距离，与良性基线共同计算得到异常分数。文章发表在 USENIX 24'，作者来自复旦大学、中山大学等。

《KAIROS: Practical Intrusion Detection and Investigation using Whole-system Provenance》是图级别溯源图IDS的方法，发表在S&P24，本文是对其简单阅读和复现的记录。复现过程中遇到了几处环境问题，做了对应解决。