该论文针对高级持续性威胁（APT）恶意软件归因问题提出了一种高精度方法。现有方法通常作为闭集分类器在有限数量的已知APT组上进行训练和评估，但在实际运营环境中，分类器可能遇到来自训练中未出现的组的样本，闭集分类器会错误地将这些样本归入已知组，导致无根据且可能误导的归因。为了解决这一问题，作者提出了一种基于排序二元分类器并带有显式弃权机制的APT恶意软件归因方法。该方法不是训练单个多类分类器，而是为每个APT组训练并调优两个二元分类器，根据验证性能对分类器进行排序，并顺序应用它们。只有当分类器提供足够证据时才对样本进行归因；否则，弃权。论文在APT恶意软件数据集以及一个旨在测试超出范围行为的更大组合数据集上进行了评估。在APT恶意软件数据集上，该方法达到了比先前发布结果更高的精确度。在最具挑战性的设置中（87%的测试样本来自训练中排除的60个APT组），该方法对94%的超出范围样本弃权，同时在其分类的样本上保持了92%的精确度和95%的选择性准确率。该工作的主要贡献在于提供了一种实用且可靠的开放世界APT归因技术，能够有效处理未知组样本，减少误报，提高威胁情报的可信度。

该论文聚焦于开放世界环境中的异常检测问题，指出传统异常检测方法通常假设训练和测试数据来自同一分布（即常态不变），但在实际应用中，常态可能随时间发生偏移（concept drift），导致检测性能下降。论文提出了一种新框架，能够同时检测常态偏移、解释偏移原因并自适应调整检测模型。具体而言，作者设计了一个双流神经网络架构，分别捕获正常行为模式和异常模式，并通过注意力机制实现对偏移的解释。实验在多个真实世界数据集上进行，包括网络流量、工业传感器和金融交易，结果表明该方法在检测常态偏移和保持异常检测性能方面优于现有基线。主要贡献包括：首次统一了常态偏移检测、解释和自适应三个任务；提出了一种可解释的偏移定位机制；以及验证了框架在多种场景下的有效性。适合安全运营、工业监控等领域的异常检测研究人员阅读。