Current attacks are complex and stealthy. The recent WannaCry malware campaign demonstrates that this is true not only for targeted operations, but also for massive attacks. Complex attacks can only be described as a set of individual actions composing a global strategy. Most of the time, different devices are involved in the same attack scenario. Information about the events recorded in these devices can be collected in the shape of logs in a central system, where an automatic search of threat traces can be implemented. Much has been written about automatic event correlation to detect multi-step attacks but the proposed methods are rarely brought together in the same platform. In this paper, we propose OMMA (Operator-guided Monitoring of Multi-step Attacks), an open and collaborative engineering system which offers a platform to integrate the methods developed by the multi-step attack detection research community. Inspired by a HuMa access (Navarro et al., HuMa: A multi-layer framework for threat analysis in a heterogeneous log environment, 2017) and Knowledge and Information Logs-based System (Legrand et al., Vers une architecture «big-data» bio-inspirée pour la détection d’anomalie des SIEM, 2014) systems, OMMA incorporates real-time feedback from human experts, so the integrated methods can improve their performance through a learning process. This feedback loop is used by Morwilog, an Ant Colony Optimization-based analysis engine that we show as one of the first methods to be integrated in OMMA.

中文翻译：

---

OMMA：开放式体系结构，用于操作员指导的多步攻击监控

当前的攻击既复杂又隐秘。最近的WannaCry恶意软件活动证明，这不仅适用于有针对性的操作，而且适用于大规模攻击。复杂的攻击只能描述为构成全局策略的一组单独的动作。在大多数情况下，同一攻击场景涉及不同的设备。可以在中央系统中以日志的形式收集有关这些设备中记录的事件的信息，在该系统中可以实现威胁痕迹的自动搜索。关于自动事件关联以检测多步攻击的文章很多，但是提出的方法很少在同一平台上结合在一起。在本文中，我们提出了OMMA（操作员指导的多步攻击监控），一个开放的协作工程系统，该系统提供了一个平台，可以集成由多步攻击检测研究社区开发的方法。受HuMa访问（Navarro等人，HuMa：异构日志环境中威胁分析的多层框架，2017年）和基于知识和信息日志的系统（Legrand等人，Vers une体系结构«大数据»SIEM，2014年），OMMA结合了人类专家的实时反馈，因此这些集成方法可以通过学习过程来提高其性能。Morwilog使用这种反馈回路，Morwilog是基于蚁群优化的分析引擎，我们将其作为最早集成到OMMA中的方法之一。受HuMa访问（Navarro等人，HuMa：异构日志环境中威胁分析的多层框架，2017年）和基于知识和信息日志的系统（Legrand等人，Vers une体系结构«大数据»SIEM，2014年），OMMA结合了人类专家的实时反馈，因此这些集成方法可以通过学习过程来提高其性能。Morwilog使用这种反馈回路，Morwilog是基于蚁群优化的分析引擎，我们将其作为最早集成到OMMA中的方法之一。受HuMa访问（Navarro等人，HuMa：异构日志环境中威胁分析的多层框架，2017年）和基于知识和信息日志的系统（Legrand等人，Vers une体系结构«大数据»SIEM，2014年），OMMA结合了人类专家的实时反馈，因此这些集成方法可以通过学习过程来提高其性能。Morwilog使用这种反馈回路，Morwilog是基于蚁群优化的分析引擎，我们将其作为最早集成到OMMA中的方法之一。2014年）系统中，OMMA融合了人类专家的实时反馈，因此这些集成方法可以通过学习过程来提高其性能。Morwilog使用这种反馈回路，Morwilog是基于蚁群优化的分析引擎，我们将其作为最早集成到OMMA中的方法之一。2014年）系统中，OMMA融合了人类专家的实时反馈，因此这些集成方法可以通过学习过程提高其性能。Morwilog使用这种反馈回路，Morwilog是基于蚁群优化的分析引擎，我们将其作为最早集成到OMMA中的方法之一。