Bài báo này trình bày một phương pháp mới để phát hiện các cuộc tấn công đe dọa nâng cao dai dẳng (APT). Để giải quyết những thách thức trong việc bảo mật khối lượng lớn dữ liệu được gắn nhãn theo yêu cầu của các phương pháp học có giám sát thông thường, chúng tôi kết hợp phát hiện bất thường bằng bộ mã hóa tự động với học chủ động. Học chủ động, yêu cầu nhãn một cách chọn lọc từ một oracle cho các mẫu không chắc chắn hoặc mơ hồ, giúp giảm chi phí gắn nhãn và cải thiện độ chính xác phát hiện. Cụ thể, chúng tôi trình bày một khuôn khổ phát hiện bất thường dựa trên Attention Adversarial Dual AutoEncoder và chứng minh cách vòng lặp học chủ động cải thiện hiệu suất mô hình. Sử dụng dữ liệu theo dõi quy trình mất cân bằng trong thế giới thực từ chương trình Điện toán Minh bạch DARPA (các cuộc tấn công kiểu APT chỉ chiếm 0,004% dữ liệu), chúng tôi đánh giá phương pháp của mình trong hai kịch bản tấn công trên nhiều hệ điều hành khác nhau, bao gồm Android, Linux, BSD và Windows, chứng minh sự cải thiện đáng kể về tỷ lệ phát hiện so với các phương pháp hiện có.
