本文提出了一种名为Hopper的横向移动检测系统。在企业网络攻击中，攻击者常在初始入侵后通过横向移动访问更多内部机器。Hopper利用企业常见的登录日志，构建内部机器之间的登录活动图，然后识别异常的登录序列。为了理解每个登录的上下文，Hopper使用推理算法识别每个登录所属的移动路径以及执行路径登录的因果用户。结合推理算法、检测规则和新的异常评分算法，Hopper能够高亮最可能反映横向移动的登录路径。在包含超过7.8亿次内部登录的15个月企业数据集上，Hopper在300多个真实攻击场景（包括一次红队攻击）中达到了94.5%的检测率，平均每天产生少于9个警报。相比之下，为了检测相同数量的攻击，先前最先进的系统需要产生近8倍的误报。