该论文针对多阶段网络攻击检测中缺乏同时覆盖系统、网络和浏览器日志的标注数据集的问题，构建了一个包含约230万条事件、870个会话（70个攻击会话、800个正常会话）的多源日志数据集。数据集在Windows端点同时捕获系统、网络和浏览器活动，并利用MITRE ATT&CK框架为恶意事件标注了12种战术和53种技术的技术ID。攻击数据使用真实工具生成，包括远程访问木马、命令与控制隧道和云数据泄露。为验证数据集的可学习性，论文使用低秩适配（LoRA）微调了三个小语言模型（SLM）：Qwen2.5-1.5B、Llama-3.2-3B和Phi-4-Mini，在分块分类和ATT&CK技术识别两个任务上评估性能。结果显示，微调后所有模型在所有指标上均优于基础版本，分块分类准确率从约8%提升至90%-97%，但技术精确匹配准确率最高仅为42%，部分匹配分数较高表明模型学到了大部分推理逻辑。该研究填补了现有数据集在涵盖三种日志源并具备ATT&CK技术级别标注方面的空白，为多阶段攻击检测的机器学习方法提供了宝贵资源。

本文提出一个将网络安全治理框架（如NIST CSF）转化为可操作的缓解决策的系统。核心挑战在于治理框架虽能评估组织成熟度，但无法直接指导在资源约束下对防御策略进行选择和优先级排序。该方法首先将CSF成熟度评估映射到MITRE ATT&CK缓解能力，使组织安全态势与以攻击者为中心的防御规划直接集成。为了处理对手行为的复杂性，采用可变阶马尔可夫模型（VOMM）在观察到的ATT&CK技术序列上训练，以在深度强化学习（DRL）环境中实现可扩展的对手模拟。通过集束搜索重构可能的攻击路径和防御响应，然后在明确预算约束下联合优化缓解措施的选择。该环境支持并发对手和现实缓解成本。实验在多种奖励设定和配置下表明，该方法能产生稳定的策略、有意义的成本-风险权衡以及与组织成熟度一致的可解释缓解计划。研究证明了攻击者感知的DRL能够生成基于实际框架和威胁行为的、资源受限的实用防御策略。