一种面向EDR的溯源模型及其行为链条保存机制

本发明公开了一种面向EDR的溯源模型及其行为链条保存机制的方法。该方法通过数据收集、威胁检测、取证分析、归档存储及攻击溯源等功能模块，实现对网络攻击行为的溯源分析，并将行为链条作为电子取证证据进行存储。具体步骤包括：通过EDR系统和GRR工具从终端设备收集系统日志、操作日志、内存镜像等数据；利用EDR内置的威胁检测算法和MITRE ATT&CK框架进行实时行为分析，发现潜在威胁并触发响应；结合第三方取证工具解析内存镜像和文件数据，重建攻击行为链条；通过去中心化存储(IPFS)与本地存储的混合机制，以及区块链技术，确保数据的完整性和不可篡改性；最后，利用攻击溯源模块分析行为链条之间的关联性，构建完整的攻击溯源图。该方法有效提高了攻击行为溯源的精确度和数据存储的安全性，减少了传统溯源方法中的数据丢失与篡改风险，为后续的网络安全事件调查与法律取证提供了强有力的支持。