Process Mining × IDS 論文閱讀分析：很多告警真正缺的，不是再多一個分數，而是先被整理成一段人看得懂的攻擊流程

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Enhancing Anomaly-Based Intrusion Detection Systems with Process Mining
• 作者：Francesco Vitale、Mauro Casoni、Michele Colajanni、Mirco Marchetti
• 年份：2026
• 來源：arXiv:2604.18066
• 論文連結：https://arxiv.org/abs/2604.18066
• DOI：10.48550/arXiv.2604.18066
• 主題：IDS、Anomaly Detection、Process Mining、Explainable Security Analytics、Alert Prioritization

如果最近 sectools.tw 這串文章，已經一路寫到 CTI pipeline、SOC triage、incident response agent、runtime guardrail、prompt injection defense 這些比較「高層」的系統問題，那這篇 paper 值得補上的原因剛好相反：它往下鑽回 detection 底座，問一個很實際的問題——就算 anomaly-based IDS 已經會叫了，能不能不要每次都只丟一顆黑盒告警，而是順手告訴分析師：這個異常到底有多嚴重、它在流量序列裡是怎麼長出來的？

我喜歡這篇不是因為它又發明了一個更花俏的 deep model，而是因為它承認一件很多藍隊都很熟的現實：真實世界裡，很多模型不是不能抓，而是抓到了之後沒有辦法被人放心採用。 如果告警只是一個 probability score，SOC 還是得自己回頭翻封包、追 session、看事件先後順序，最後那段最花時間的「理解」成本其實沒被自動化掉。這篇做的事，就是把 process mining 拉進來，讓 anomaly-based IDS 不只會報警，也比較像是在說明一段攻擊行為的過程。

這篇論文想解決什麼？

作者鎖定的是 anomaly-based IDS 的老問題：

• 模型可以抓出異常，但很難解釋「為什麼」
• 異常分數不等於營運上的優先順序
• 分析師需要的不是單一點狀告警，而是帶時序脈絡的事件理解
• 誤報太多時，再好的模型也會在 SOC 現場失去信任

所以作者不是直接重做一個新 IDS，而是把問題改寫成：能不能在既有 anomaly detector 之上，再加一層 process-aware explanation and prioritization，讓 alert 更接近可操作的 investigation entry point？

這個 framing 很重要。因為它代表這篇 paper 真正處理的，不只是 detection accuracy，而是 detection 到 analyst action 之間的語意落差。

核心方法：先讓模型抓異常，再用 process mining 解釋異常在流程裡的位置

作者的方法可以拆成兩段：

1. 先用 anomaly-based IDS 找出異常流量
2. 再用 process mining 去分析這些事件在封包／流程序列中的結構位置，進一步給出 severity rating 與 explanation

如果用比較直白的話講，就是：

• 第一層回答「哪裡怪怪的」
• 第二層回答「這個怪，是不是已經形成一段有攻擊味道的行為流程」

這比單純在 classifier 後面再掛一個 saliency map 有意思得多，因為它不是只解釋 feature importance，而是試著把告警放回一段可被分析師理解的事件脈絡。這種做法很適合網路安全場景，因為很多攻擊本來就不是靠單一封包辨識，而是靠順序、重複、分支、停頓、重試這些 temporal pattern 才看得出味道。

作者怎麼做 severity 分級？

這篇的一個亮點，是它沒有把所有 anomaly 都當成同一種紅燈，而是嘗試產生 process-based alarm severity ratings。也就是說，系統不只說「有異常」，還會區分這個異常更像是：

• 低風險偏離
• 值得注意的異常模式
• 高度可疑、應優先處理的攻擊序列

這個想法對 SOC 很實際。因為告警疲勞很多時候不是來自完全抓不到，而是來自所有東西都被同樣大聲地喊成有事。一旦 severity 可以建立在流程結構而不是單點分數上，優先級就比較有機會和真實風險對齊。

作者的說法也很務實：他們不是要求系統把每個 benign outlier 都砍掉，而是希望在保留高召回的前提下，對真實威脅做出更可信的排序，同時讓某些被誤判的 benign traffic 不至於過度干擾營運。

實驗設計：用 USB-IDS-TC 資料集與 Slowloris 變種測試

評估使用的是 USB-IDS-TC 公開資料集，裡面包含受不同 Slowloris DoS attack 變種影響的異常流量。這個選擇雖然題材不算新潮，但其實很合理，因為 Slowloris 這種攻擊本來就很吃時間序列特徵：它不像暴力衝流量那樣粗暴，而是靠慢、拖、持續佔住連線資源來磨系統。

這讓 process mining 的價值更容易被看出來：如果系統只能看單點封包，很容易漏掉；但如果能看見一段持續拉長、行為模式異常一致的流程，severity 就比較有根據。

結果怎麼看？

論文給出的結果相當亮眼：

• Recall 最高可維持到 99.94%
• Precision 可到 99.99%
• 能把告警區分成不同嚴重程度
• 同時有效排除一部分 false positives

這組數字當然很漂亮，讀的時候還是要保留一點現實感：它是在特定資料集與特定 attack family 上得到的結果，不能直接推論到所有企業網路、所有攻擊型態都會同樣有效。但即便如此，這篇真正值得注意的不是那兩個接近滿分的指標，而是它展示出一種值得延伸的設計方向：

把 anomaly detection 從單純的分類問題，往流程理解與營運優先級問題推進。

這一點比單次 benchmark 分數更有長期價值。

這篇 paper 最有價值的地方，不是 explainability 本身，而是 explainability 被拿來做營運排序

很多資安 ML 論文談 explainability，最後都只停在「讓人比較能接受模型」。但這篇比較好的地方是，它讓 explainability 不只是拿來事後說明，而是直接參與 alert prioritization。

換句話說，它不是在問：

• 模型能不能講得比較清楚？

而是在問：

• 模型講清楚之後，能不能幫我決定哪一個 alert 該先處理？

這個轉向很重要。因為 SOC 真正缺的從來不是更多 explanation，而是更有用的 explanation。如果解釋不能轉成排序、轉成 triage、轉成 analyst effort allocation，那它在現場的價值其實有限。

它的限制也很明顯

當然，這篇不是沒限制。

• 攻擊類型集中：主要還是在 Slowloris/DoS 類流量上驗證，對更複雜的 lateral movement、low-and-slow intrusion、multi-stage kill chain 是否同樣有效，還需要更多證據。
• 資料集外推性有限：公開 benchmark 的乾淨程度，和企業真實流量差很多；到了混雜、多租戶、充滿噪音的現場，流程模型會不會被沖淡，是大問號。
• 流程品質依賴前處理：process mining 很吃 event abstraction 與 sequence construction；如果前面切得不好，後面 severity 再漂亮也可能建立在錯的流程上。
• 仍偏後驗分析：它讓警報更可理解，但還沒有真正把這套 process-aware reasoning 接進 response orchestration 或 automated containment。

所以我會把這篇看成一個很好的中層補件：它比單純 classifier 更接近 analyst workflow，但還沒走到真正 agentic SOC 那種可自動調度、可連接 playbook 的程度。

放回最近 sectools.tw 的主線裡，它補的是哪一塊？

如果把它放回最近這波文章脈絡，位置其實滿漂亮的。

前面我們寫過很多比較高層的東西：CTI extraction、RAG-based investigation、incident response agent、MCP/runtime governance、prompt injection defense。那些文章都在處理系統怎麼變得更聰明。但這篇提醒的是另一件同樣重要的事：在系統更聰明之前，底層告警本身要先變得比較像人能消化的東西。

也就是說，它補的不是新的 autonomy，而是 autonomy 之前那層很常被忽略的 operational interpretability。

如果未來要把這條路往上接，我覺得有兩個方向特別值得看：

1. 把 process-based severity 接到 LLM / agent 的 investigation planner，讓 agent 不是平均看所有 alert，而是先吃最有攻擊流程特徵的那批
2. 把 process mining 的輸出跟 ATT&CK / CTI knowledge layer 對接，讓異常流程不只被評級，還能被映射成更高層的攻擊敘事

如果這兩步接起來，這篇 paper 的價值就不只是「替 IDS 加 explainability」，而是可能變成 CTI、SOC、agentic investigation 三條線中間那個很實用的橋樑。

我的看法

我會把 Enhancing Anomaly-Based Intrusion Detection Systems with Process Mining 看成一篇很務實、也很有現場感的論文。它沒有試圖用一個大模型一把梭掉所有問題，而是老老實實地處理一個 SOC 每天都在痛的點：告警不是只有抓到就好，還要能被排序、被理解、被信任。

這種 paper 的價值，通常不在於 headline 有多炫，而在於它常常比較接近真實能落地的方向。對藍隊來說，真正有用的 AI/ML 系統，未必是最會講故事的那個，而是能把大量模糊異常，整理成一條值得先查的流程線索的那個。

如果你今天關心的是「AI 到底怎麼幫 SOC 減壓」，那這篇值得看；因為它抓到一個很核心的現實：很多時候，不是模型不會抓，而是抓完之後還沒變成能用的警報。