《CLOUDBURST: 基于信标的云层实时监控与威胁溯源》论文针对云原生环境中的外泄威胁面，指出现有蜜标和信标框架无法应对S3预签名URL、容器镜像、Kubernetes密钥、Terraform状态模块和IAM角色令牌等新型工件。作者提出了CLOUDBURST框架，这是首个针对云原生被动信标的正式分类与测量体系，覆盖AWS、GCP、Azure和OCI四大云厂商的六种向量类别。同时引入云归属分数(CAS)，一个包含临时基础设施惩罚(E_p)、IAM覆盖深度(I_c)和多云关联奖励(M_b)的四分量指标，弥补了以往溯源质量评估维度的缺失。通过在21个部署信标、205次模拟回调及三种攻击者技能水平下的实验，得出四个主要发现：第一，IAM Canary角色获得最高平均CAS(0.450)和检测抵抗性(DR=0.873)，是最易部署的向量；第二，S3预签名URL获得最高检测抵抗性(DR=0.890)，可绕过AWS Macie、Checkov/tfsec和Prisma Cloud/Wiz三种云原生扫描器；第三，临时基础设施消失使所有向量的CAS在48小时内从约0.79下降至约0.18–0.22(p<0.001)，首次量化了容器化环境中的溯源衰减模型；第四，无服务器函数触发器因显式出站HTTP回调模式而检测抵抗性最差(DR=0.611)，需设计隐蔽回调通道。各云厂商之间CAS无显著差异(H=1.99, p=0.57)，证明CLOUDBURST效果与提供商无关。

该论文提出了一种名为 FedAttr 的新协议，用于在联邦学习（FL）环境下对大型语言模型（LLM）微调过程进行客户端级别的归属分析。传统的基于水印的放射性检测方法已证明在集中式LLM微调中有效，但在联邦学习中面临挑战：联邦学习依赖安全聚合（SA）来保护客户端更新的隐私，这使得检测哪个客户端使用了带水印的数据变得困难。FedAttr 通过配对子集差分机制实现客户端归属，同时不破坏安全聚合的隐私保证和联邦学习性能。协议分三步：首先，通过两次安全聚合查询的差分估计每个客户端的更新；其次，利用差分评分机制通过水印检测器对估计结果打分；最后，使用Stouffer方法跨轮次合并分数。理论分析表明，FedAttr 能产生每个客户端更新的无偏估计，且每轮互信息泄漏量为 O(d*/N)。实验结果显示，FedAttr 在真实数据集上实现了100%的TPR和0%的FPR，在TPR上至少优于所有基线44.4%，在FPR上至少优于19.1%，且仅增加FL训练时间6.3%的额外开销。消融研究证实了其对协议参数和配置的鲁棒性。该工作填补了联邦LLM微调中隐私保护客户端归属的空白，特别适用于数据版权保护场景。

本论文提出 LCC-LLM，一个面向恶意软件归因与多任务静态分析的代码中心基准数据集与证据驱动框架。研究背景是当前基于 LLM 的恶意软件归因受限于不支持的指标以及缺乏代码级别的证据支持，难以准确识别恶意和脆弱代码片段。为解决这些问题，作者构建了 LCCD 数据集，包含约 34,000 个 PE 样本，通过大规模逆向工程流水线处理，以反编译 C 代码、汇编代码、CFG/FCG 结构、十六进制数据、PE 元数据、可疑 API 证据和结构特征等多种形式表示。框架层面，LCC-LLM 整合了 LangGraph 编排的静态分析与多源网络安全知识，采用七层检索增强生成流水线、基于 CoVe 的 IoC 验证以及多维质量门控机制，提升事实可靠性和面向分析师的决策支持。使用课程顺序指令数据对 DeepSeek-R1-Distill-Qwen-14B 和 Qwen3-Coder-30B-A3B 进行 QLoRA 微调。在 43 种恶意软件分析任务类型上的评估显示平均语义相似度达到 0.634，在结构化报告生成、IoC 提取、漏洞评估、恶意软件配置提取和恶意软件类别检测等任务上表现最佳。基于 MalwareBazaar 样本的真实案例研究中，证据驱动流水线实现了 10/10 的结构化分析通过率，生成了 CFG/FCG 证据、MITRE ATT&CK 映射、检测指南和分析师就绪报告。结果表明代码中心表示、检索基础验证和推理指导提升了 LLM 辅助恶意软件归因的可靠性和实用价值。

当前的网络归因方法通常针对单个事件独立分析，缺乏跨战役聚合证据以提升对手识别能力的系统性研究。本文提出一个问题：跨战役归因是否能够减少歧义，还是受限于数据结构上的固有瓶颈？作者将攻击者指纹建模为多维特征向量，包含行为、基础设施和时序特征，这些特征源自对被动信标交互的遥测收集。在此基础上，提出ARCANE（Attacker Re-identification via Cross-campaign Attribution Network）框架，这是一个概率性框架，通过跨战役和跨组织的被动遥测聚合，构建持久的攻击者指纹。指纹使用贝叶斯信念网络进行更新，该网络能随时间整合新证据，并引入时间衰减置信度度量来累积跨战役的相似性。在包含多个威胁轮廓的合成数据集上评估，结果显示同一攻击者内部的相似度始终高于不同攻击者之间的相似度。然而，由于高级对手之间共享通用的操作实践，不同攻击者之间的区分度仍然有限。研究结论表明，仅靠跨战役聚合并不能解决归因模糊性；性能受限于特征空间中的某种结构性天花板——即使不存在主动规避行为，不同攻击者之间的特征相似度依然较高。归因准确率在攻击者增加规避行为时保持稳定，说明主要限制是指征本身的不可区分性，而非对手的适应性演化。因此，作者指出需要引入额外的信号类别，例如目标模式、时间协调性和基础设施关联关系，才能提升归因的可靠性。本文适合威胁情报分析师、APT追踪团队和归因研究人员阅读。