该论文研究了基于系统调用轨迹的主机入侵检测系统（HIDS）在从已知漏洞（CVE）泛化到同一弱点类别（CWE）中新漏洞时的表现。传统HIDS通常对单个CVE进行训练和评估，但实际运营中需要识别已知弱点类型的新攻击。作者利用LID-DS-2021数据集中的六个攻击场景，将其分为三个CWE家族：CWE-307（认证绕过）、CWE-89（SQL注入）和CWE-434（无限制文件上传）。他们提取了每滑动窗口的66维Peng-Guo风格特征向量，并使用Isolation Forest和SGD One-Class SVM训练单类异常检测器，通过校准阈值固定目标假阳性率（FPR）。论文定义了四个研究问题：自检测能力、不对称跨CVE迁移、CWE级联合正常轮廓的价值、特征过滤对迁移性的影响。实验结果表明，CWE-307的联合检测器在FPR=0.05时达到了F1=0.6976（精确率0.8994，召回率0.5698），而CWE-89和CWE-434在相同协议下F1≤0.21。跨CVE迁移显示出强烈的方向依赖性，主要受源正常行为轮廓的广度而非CWE标签的影响。作者得出结论：使用当前系统调用特征，CWE级泛化在某些弱点家族中是可实现的，但并非所有；并强调校准FPR是在此类设置中诚实报告的方法论前提。该研究为HIDS在弱点类别级别泛化提供了实证基础，指出了当前方法的局限性和改进方向。