这篇论文提出了一种名为ATLAS的序列学习方法，用于自动化攻击调查。现有攻击调查方法通常依赖专家规则或图分析，难以处理大规模系统日志并准确识别攻击路径。ATLAS将系统调用日志建模为序列，利用双向LSTM网络学习正常与恶意序列的模式。其核心创新在于：1) 将系统实体（进程、文件）的交互序列化，并采用注意力机制聚焦关键步骤；2) 设计了一种基于序列相似性的攻击重构算法，能够从冗长的日志中提取出完整的攻击因果关系链。实验在真实数据集（包括DARPA TC）上进行，结果表明ATLAS在攻击检测率上达到95%以上，且能够以较低误报率还原攻击步骤，优于当时的图基方法。该方法适用于企业端点检测与响应（EDR）场景，可辅助分析师快速定位攻击源头。