Los puntos clave no están disponibles para este artículo en este momento.
El registro de auditoría es un enfoque importante para la investigación de ataques cibernéticos. Sin embargo, el registro de auditoría tradicional carece de precisión o requiere una instrumentación binaria costosa y compleja. En este documento, proponemos una técnica de registro de auditoría basada en Windows que presenta precisión y bajo costo. Más importante aún, no requiere instrumentar las aplicaciones, lo cual es crítico para el software comercial con protección de propiedad intelectual. La técnica se basa en el Seguimiento de Eventos para Windows (ETW). Al analizar los registros de ETW y partes críticas de los ejecutables de aplicaciones, se puede construir un modelo para analizar los registros de ETW en unidades que representan sub-ejecuciones independientes en un proceso. La causalidad inferida a nivel de unidad proporciona una precisión mucho mayor, lo que nos permite realizar investigaciones de ataques precisas y una reducción de registros altamente efectiva.
Ma et al. (Mon,) estudiaron esta cuestión.