DeepStage 論文閱讀分析：真正像樣的 APT 自動防禦，不是看見告警就亂封，而是知道攻擊已經走到哪一階段

論文基本資訊

• 論文標題：DeepStage: Learning Autonomous Defense Policies Against Multi-Stage APT Campaigns
• 作者：Trung V. Phan、Tri Gia Nguyen、Thomas Bauschert
• 來源：arXiv
• 年份：2026
• 論文連結：https://arxiv.org/abs/2603.16969
• 主題：APT、Autonomous Defense、Reinforcement Learning、MITRE ATT&CK、Provenance Graph、Incident Response

如果前幾篇 incident response / SOC agent 文章，大多還在談 LLM 怎麼讀 alert、怎麼查 CTI、怎麼規劃下一步，那這篇 DeepStage 補的是另一塊更偏控制系統、也更接近真正自動防禦骨幹的問題：當攻擊已經是一條多階段 APT campaign，防守方到底能不能不是被動追著告警跑，而是根據攻擊階段主動切換防禦策略？

作者的答案不是再做一個更會說話的 copilot，而是直接把 enterprise defense 問題建成 POMDP，再用 stage-aware reinforcement learning 去學一套會隨攻擊進度調整的 defense policy。

這篇真正想做的，不是讓模型回答「這像不像 APT」，而是讓防禦系統根據 APT 進到哪個 stage，決定現在該監看、限權、隔離，還是直接做 remediation。

它在解什麼痛點？

多階段 APT 最麻煩的地方，不是單一步驟多高明，而是攻擊行為會一路變形。同一個 campaign 會從初始進入、橫向移動、權限提升、蒐集、外洩一路推進；如果防守方每次都只盯當前 alert，就很容易在局部做出「看起來合理、整體卻太慢」的反應。

也就是說，APT defense 真正缺的往往不是更多 detection，而是：

• 先判斷攻擊現在大概走到哪個階段
• 理解不同階段的風險與防禦成本不一樣
• 根據目前 belief state 選最值得做的動作，而不是每次都開最大槍

這就是這篇 paper 的切入點：autonomous defense 的核心不只是 action automation，而是 stage-aware decision making。

方法主線：先估 stage，再決定 defense action

這篇的方法可以拆成兩層。

1. Stage inference：先從 host provenance 與 network telemetry 推估攻擊者目前最可能處在哪個 ATT&CK-aligned stage。
2. Policy learning：再把這個 stage belief 加上圖表示，交給 hierarchical PPO agent 決定要採取哪種防禦動作。

作者延續前作 StageFinder，用 graph neural encoder 加上 LSTM-based stage estimator，把來自不同主機與網路的訊號融合進 unified provenance graph，然後輸出攻擊階段的機率分佈。

這一步很關鍵。因為在真實企業環境裡，防守方看到的從來不是完整真相，而是一堆碎掉的 process lineage、network event、access event 與 alert。如果你沒有先把這些碎片壓成「現在大概是 discovery / lateral movement / exfiltration 哪一段」的 belief，後面的自動防禦就很容易要嘛太保守、要嘛太過度。

為什麼 provenance graph 比單點 alert 更重要？

我覺得這篇很值得看的地方，是它沒有停在 alert 級別做 decision，而是回到 provenance + telemetry fusion。這個設計背後其實有個很實際的洞見：APT 的危險不在某一條 log，而在於多個事件之間的因果與依賴關係。

只看單點 alert，你可能只知道有掃描、有可疑程序、有疑似橫向移動；但放進 provenance graph 之後，你比較有機會看出：

• 哪些程序生成了哪些連線
• 哪些帳號或主機在同一條活動鏈上
• 哪些 event 比較像同一個 campaign 的不同片段
• 哪些階段轉換是真的策略切換，而不是噪音

這也代表這篇 paper 真正要補的，不是再做一次 IDS classifier，而是把圖狀上下文重新拉回 autonomous defense 的 state representation 裡。

防禦行動不是二元封鎖，而是分層決策

DeepStage 的另一個重點，是它把 defense actions 分散在不同層級：monitoring、access control、containment、remediation。這比很多 paper 常見的「偵測到就封鎖」成熟很多。

原因很簡單：不同 APT stage 對應的最佳反應本來就不一樣。

• 太早就強封鎖，可能打草驚蛇、也可能造成業務 side effect
• 太晚才 containment，又可能已經讓 lateral movement 擴散
• 有些時候先加強觀測比立刻隔離更划算
• 有些時候 remediation 要等證據保全與範圍判斷後才適合做

所以這篇的關鍵其實不是「會不會自動化」，而是有沒有把防禦成本、攻擊階段與動作後果一起放進 policy 裡。

它跟一般 LLM security agent 論文最大的差別

如果把這篇放回最近常見的 agent security / IR 文脈，它和許多 LLM-based work 最大差別在於：

• 它不靠生成長段敘述來證明自己有推理
• 它不把 decision quality 建立在 prompt engineering 上
• 它把重點放在 belief state、policy learning、cost-aware action selection

換句話說，這篇比較不像 AI copilot，反而更像真正的 autonomous defense controller。

這點很重要，因為很多資安 AI demo 最大的錯覺，就是把「能解釋」誤認成「能決策」。但在高風險防禦場景裡，真正需要的是一套在狀態不完整、成本受限、攻擊持續演化時仍能穩定收斂的決策機制。

結果怎麼看？

論文 headline result 是：在以 CALDERA 驅動的 realistic enterprise testbed 裡，DeepStage 的 stage-weighted F1 做到 0.89，比 risk-aware DRL baseline 高出 21.9%。

這裡我覺得有兩個點比單純數字更值得看：

• 它評的不是純 detection accuracy，而是 stage-aware defense quality。
• 它強調 cost-efficient，代表不是一味用最激進動作換分數。

這兩點一起看，才比較接近企業實務。因為 production defense 從來不是「把所有風險都封到零」這麼簡單，而是在有限成本與可接受 side effect 下，盡量把攻擊壓在較早期、較低損害的階段。

這篇最值得記住的主線

如果要把整篇濃縮成一句話，我會這樣寫：

APT 自動防禦真正缺的，往往不是更多 alert，也不是更會講的模型，而是先把「攻擊走到哪裡」這件事做成顯式狀態，再根據這個狀態選動作。

這句話其實把很多安全自動化的盲點都點出來了。因為如果系統沒有 stage awareness，它就只會在局部事件上反應；而 APT 真正危險的地方，恰恰就是整條 campaign 的長程連貫性。

放回 CTI / SOC / IR 脈絡裡，它補的是哪一塊？

如果把最近 sectools.tw 這串文章串起來看，這篇的位置很清楚：

• CTI / ATT&CK extraction 類文章 在處理如何把事件或報告翻成威脅語言
• IR agent 類文章 在處理如何生成、重規劃或協作 response 步驟
• DeepStage 則補上中間一塊：如何把多源遙測壓成攻擊階段 belief，再把這個 belief 變成 defense policy 的輸入

也就是說，它不是單純的 detection paper，也不是單純的 response orchestration paper；它比較像把 threat progression understanding 和 autonomous action selection 接成一個閉環。

限制也很明顯

當然，這篇也不是沒有風險。

• 它高度仰賴 stage estimator 的品質：前面估歪了，後面的 policy 再聰明都可能錯方向。
• CALDERA-driven testbed 仍然是實驗環境：比 toy example 真實很多，但離雜訊更多、資產更多、例外更多的 enterprise reality 還有距離。
• 自動動作的 side effect 治理仍是難題：尤其 containment / remediation 一旦誤觸，業務成本可能很高。

所以這篇比較像是在證明一條 architecture direction，而不是已經把 autonomous defense 落地到可直接無腦上線的程度。

我的看法

我自己蠻喜歡這篇，因為它避開了很多資安 AI 論文常見的泡泡。它沒有試圖用華麗生成輸出掩蓋 decision problem，也沒有把「會描述攻擊」當成「會做防禦」。相反地，它很老實地回到一個更硬的問題：在部分可觀測、成本受限、攻擊分階段推進的世界裡，防禦政策要怎麼學？

如果要我用一句話總結這篇 paper，我會這樣講：

真正像樣的 APT autonomous defense，不是看到風險就一把梭，而是知道攻擊目前走到哪裡，然後用對那個階段最划算的方式動手。

而這也是 DeepStage 最值得注意的地方：它把 autonomous cyber defense 從「自動做事」往前推成「根據攻擊進度有策略地做事」。

免責聲明

本文由 AI 產生、整理與撰寫。內容主要依據公開論文摘要頁面與可取得研究資訊進行彙整、解讀與摘要；由於未完整檢視所有附錄、實作細節與實驗設定，部分方法描述與研究定位採保守解讀。儘管已盡力確保內容完整與可讀，仍可能因資料來源限制、模型理解偏差或論文版本更新而存在疏漏、不精確或更新延遲之處。本文僅供研究交流與知識分享參考，最終技術細節、實驗設計與作者主張仍應以原始論文與官方公開資料為準。