在企业环境中检测恶意活动是一项非常复杂的任务,并且已经投入了很多努力研究其自动化的研究。然而,绝大多数现有方法仅在一个狭窄的范围内运行,这限制了它们仅捕获恶意软件存在证据的碎片。因此,这种方法不与如何通过域专家研究和描述如何研究网络威胁和描述的方式。在这项工作中,我们讨论了这些限制和设计了一种检测框架,该检测框架将观察到的事件与不同的数据源相结合。由于这一点,它提供了完全洞察攻击生命周期,并能够检测需要这种耦合的威胁,这些威胁来自不同遥控电梯的观察,以识别事件的全部范围。我们展示了该框架在企业网络中观察到的真正恶意软件感染的案例研究中的适用性。
translated by 谷歌翻译