本文提出了一种基于溯源图的检测框架 PROVGUARD，用于识别软件定义网络（SDN）中的控制策略操纵（CPM）攻击。SDN 通过将控制平面与数据平面解耦提升了网络灵活性，但逻辑集中的控制平面易受 CPM 攻击，攻击者通过操纵控制器的网络视图引入错误策略。现有异常检测和配置验证方法因仅关注数据平面而存在局限性，某些隐蔽的 CPM 攻击若不分析控制器决策的因果关系则难以与正常行为区分。PROVGUARD 通过监控控制器活动来检测 CPM 攻击，利用静态分析识别与数据平面相关的控制器操作并指导控制器插桩，从捕获的控制平面活动构建溯源图。该框架通过减少冗余并提取溯源图中的路径作为上下文，以捕获简洁且长期的特征。基于序列到序列预测模型，通过识别导致预测误差超出正常范围的路径来标记可疑行为。作者在 Floodlight 控制器上实现了原型，实验证明该方法成功识别了先前方法无法完全处理的四种典型 CPM 攻击，并为攻击行为调查提供了有价值的见解。

本论文针对基于溯源图的主机入侵检测系统（HIDS）提出了模仿攻击（Mimicry Attacks），旨在揭示这类系统在面对精心构造的恶意行为时存在的脆弱性。作者首先形式化地定义了模仿攻击问题，即攻击者通过模仿正常系统行为模式来绕过基于溯源图的异常检测模型。然后设计并实现了一种攻击方法，包含两个核心组件：攻击规划器（Attack Planner）和恶意有效载荷生成器（Malicious Payload Generator）。攻击规划器利用系统溯源图模型，自动搜索能够隐藏恶意活动的正常行为序列；有效载荷生成器则将恶意操作嵌入到这些合法序列中，使得整体执行轨迹与正常行为难以区分。实验基于真实数据集（如UNM、ADFA-LD等）和多个主流溯源图HIDS（如Uni-GNN、StreamSpot、MAGIC等）进行评估，结果表明所提攻击能够以高成功率（平均超过80%）绕过现有检测系统，同时保持较低的检测成本。论文还讨论了潜在的防御策略，包括增加上下文感知的检测维度、利用时序相关性分析等，但未提供完整的防御方案。该研究为HIDS的安全加固提供了新的视角，警示业界需警惕针对溯源图的对抗性攻击。