该论文针对基于系统审计数据的因果分析在攻击调查中面临的关键挑战：生成的依赖图过于庞大（通常超过10万条边），导致安全分析师难以手动审查。作者通过分析多种攻击的依赖图，观察到两个关键洞察：（1）与关注点（POI）事件高度相关的依赖往往在数据流和时间等属性上与低相关依赖不同；（2）POI事件通常只与少数攻击入口点（如下载文件）相关。基于此，提出DEPIMPACT框架，该框架通过三个步骤识别依赖图的临界子图：首先，为边分配区分性的依赖权重，以区分表示攻击序列的关键边与次要依赖；其次，从POI事件向后传播依赖影响到入口点；最后，根据依赖影响对入口节点排序，并从前向因果分析中过滤掉不在前向分析中的边。在真实攻击的1.5亿条系统审计事件以及DARPA TC数据集上的评估表明，DEPIMPACT能够将大型依赖图（约100万条边）显著缩减到约234条边，缩小了4611倍；与现有最先进的因果分析技术相比，在保持攻击序列完整性的前提下，缩减效果提高了106倍。该工作为攻击调查中的图缩减提供了高效解决方案，有望显著提升安全运营中心的调查效率。

这篇论文提出了一种名为ATLAS的序列学习方法，用于自动化攻击调查。现有攻击调查方法通常依赖专家规则或图分析，难以处理大规模系统日志并准确识别攻击路径。ATLAS将系统调用日志建模为序列，利用双向LSTM网络学习正常与恶意序列的模式。其核心创新在于：1) 将系统实体（进程、文件）的交互序列化，并采用注意力机制聚焦关键步骤；2) 设计了一种基于序列相似性的攻击重构算法，能够从冗长的日志中提取出完整的攻击因果关系链。实验在真实数据集（包括DARPA TC）上进行，结果表明ATLAS在攻击检测率上达到95%以上，且能够以较低误报率还原攻击步骤，优于当时的图基方法。该方法适用于企业端点检测与响应（EDR）场景，可辅助分析师快速定位攻击源头。