(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211007483.9 (22)申请日 2022.08.22 (71)申请人 北京元支点信息安全技 术有限公司 地址 100000 北京市东城区安 乐林路69号3 号楼203-A (72)发明人 杨志卫　 (74)专利代理 机构 北京贵都专利代理事务所 (普通合伙) 11649 专利代理师 田志华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种分布式攻击过程取证的系统及方法 (57)摘要 本发明公开了一种分布式攻击过程取证的 系统及方法， 本发明引入用户无感的、 分布式主 动防御模型到攻击取证中， 在网络中自动构建高 逼真度、 高密度的伪装环境， 在网络、 终端中沿途 构建诱饵、 诱骗陷阱， 主动散布假消息、 污染的数 据给攻击者， 当攻击者入侵后， 利用Agentless方 式下发取证策略、 取证组件， 通过系统内核事件 追踪实现分布式无侵入的动态取证， 弥补优化现 有攻击取证上的不足。 权利要求书2页 说明书4页 附图2页 CN 115378706 A 2022.11.22 CN 115378706 A 1.一种分布式攻击过程取证的系统及方法， 其特 征在于， 包括以下步骤： S1： 构建分布式主动欺骗环境， 同时构建诱饵系统； S2： 通过数据中心得到用户动作指令， 并对检测攻击指令； S3： 取证分类主节点接收到攻击指令后进行取证、 分类并进行上传， 对取证服务指令进 行分析， 并且基于分析结果将取证服务请求分配到取证主节点的合适的取证从节点， 以由 取证从节点执 行取证流程。 2.根据权利要求1所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述S1 中构建诱饵系统由真实主机终端、 网络诱捕感知 主节点和联动边界设备、 IDS/IPS、 WAF等安 全设备构成， 通过诱饵系统将用户指令传至检测主节点， 通过检测主节点分别对用户指令 进行行为监控检测 和特征检测， 并将检测结果下发至取证分类主节点进行分析和处 理。 3.根据权利要求2所述一种分布式攻击过程取证的系统及方法， 其特征在于， 所述真实 主机终端、 网络诱捕感知 主节点对用户指令进行行为监控检测， 并设有诱骗诱饵节点、 诱骗 端口节点、 假流量节 点、 污染数据节 点， 所述联动边界设备、 IDS/IPS、 WAF等安全设备对用户 指令进行 特征检测。 4.根据权利要求2所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述取 证分类主节点上设有 数据处理系统和日志系统； 所述数据处理系统接收到诱饵系统所接收 的行为监控检测和特征检测数据下发至取证分析节点， 并通过取证分析节点进行分析处 理， 再将入侵的数据指令进行分类得到数据分析 结果并传至取证管理系统， 完成逻辑。 5.根据权利要求4所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述取 证分类主节点包括触发调查取证节点、 取证存储模组、 调查取证节点、 入侵证据分类节点、 取证分析节点； 所述触发调查取证节点接 收来自数据 处理系统和日志系统的数据指令， 并 开始向下执行逻辑指令， 通过调查取证节点进行数据分析， 分析结果通过入侵证据分类节 点进行检测分类， 再由取证分析节点将分类后的指令传至取证管理系统。 6.根据权利要求5所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述入 侵证据分类节点包括： 主机证据提取节点、 网络证据提取节点、 其他证据提取节点、 证据融 合节点、 痕迹 保存节点和追踪节点， 通过主机证据提取节点、 网络证据提取节 点和其他证据 提取节点对数据指 令进行分析后分别通过证据融合节点、 痕迹保存节点和追踪节点进 行处 理， 所述证据融合节点、 痕迹保存节点将分析后的数据下发至取证分析节点。 7.根据权利要求5所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述真 实主机终端逻辑如下： S1： 攻击入侵指令进入后触发调查取证节点； S2： 调查取证节点将处理后的入侵指令下发至取证组件到终端， 再经系统内核事件追 踪(ETW)， 对 入侵指令进行分类； S3： 将分类后的入侵指令进行证据存储、 入库和签名， 并对调查证据进行分类、 分析、 聚 合， 最后将得到的分析 结果传至取证管理系统。 8.根据权利要求7所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述S2 中的系统内核事件追踪(ETW)分为系统日志分析插件、 网络流量分析插件、 浏览器分析插 件、 账号活动分析插件； 所述系统日志分析插件中还设有内存分析插件和进程分析插件； 所 述网络流量分析插件中设有文件分析插件和注册表分析插件； 所述浏览器分析插件中设有权　利　要　求　书 1/2 页 2 CN 115378706 A 2历史记录分析插件和驱动程序分析插件； 所述账号活动分析插件中设有自动运行插件和 PowerShell分析插件。 9.根据权利要求4所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述日 志系统用于获取交换机、 路由器日志以及获取其 他系统日志。 10.根据权利要求7所述的一种分布式攻击过程取证的系统及方法， 其特征在于， 所述 S3中还产生样本， 并进行追踪。权　利　要　求　书 2/2 页 3 CN 115378706 A 3