-
公开(公告)号:CN119995955A
公开(公告)日:2025-05-13
申请号:CN202510076293.X
申请日:2025-01-17
Applicant: 重庆邮电大学
Abstract: 本发明公开了一种面向EDR的溯源模型及其行为链条保存机制的方法。该方法通过数据收集、威胁检测、取证分析、归档存储及攻击溯源等功能模块,实现对网络攻击行为的溯源分析,并将行为链条作为电子取证证据进行存储。具体步骤包括:通过EDR系统和GRR工具从终端设备收集系统日志、操作日志、内存镜像等数据;利用EDR内置的威胁检测算法和MITRE ATT&CK框架进行实时行为分析,发现潜在威胁并触发响应;结合第三方取证工具解析内存镜像和文件数据,重建攻击行为链条;通过去中心化存储(IPFS)与本地存储的混合机制,以及区块链技术,确保数据的完整性和不可篡改性;最后,利用攻击溯源模块分析行为链条之间的关联性,构建完整的攻击溯源图。该方法有效提高了攻击行为溯源的精确度和数据存储的安全性,减少了传统溯源方法中的数据丢失与篡改风险,为后续的网络安全事件调查与法律取证提供了强有力的支持。
Search Results
1
records
(took 0.036 seconds)
筛选
AND
AND
过滤
NOT
NOT
Scan to Join
