CN116405331B

CN116405331B - 一种分段式数据获取方法、存储介质及电子设备

Info

Publication number: CN116405331B
Application number: CN202310674795.3A
Authority: CN
Inventors: 刘佳男; 王昆明; 李柏松; 肖新光
Original assignee: Beijing Antiy Network Technology Co Ltd
Current assignee: Beijing Antiy Network Technology Co Ltd
Priority date: 2023-06-08
Filing date: 2023-06-08
Publication date: 2023-08-11
Anticipated expiration: 2043-06-08
Also published as: CN116405331A

Abstract

本发明涉及网络安全领域，特别是涉及一种分段式数据获取方法、存储介质及电子设备。包括：与目标终端建立通信连接。根据第一数据获取策略，对目标终端进行第一获取处理。在第一获取处理的过程中，若切换度大于第一切换阈值，则根据第二数据获取策略对目标终端进行第二获取处理。本发明中将数据获取的过程设置为两个阶段，也即第一获取处理和第二获取处理，第一获取处理为静默取证阶段，第二获取处理为公开取证阶段，并通过切换度来控制静默取证阶段和公开取证阶段间的切换。通过本发明的两种取证方式的配合，可以降低现有的反取证方法，对取证活动的发现的可能性，进而会降低对取证活动进行的限制。以便于更加有效的获取到目标数据。

Description

一种分段式数据获取方法、存储介质及电子设备

技术领域

本发明涉及网络安全领域，特别是涉及一种分段式数据获取方法、存储介质及电子设备。

背景技术

网络空间四大威胁包括中断威胁，截获威胁，篡改威胁及伪造威胁。上述威胁会造成在用的信息系统毁坏，重要隐私信息被盗取等问题。

近年来，随着各能力层级的网空威胁行为体持续研制和使用新型攻击技战术，使得网络空间安全形势日趋严峻。同时，由于现有的一些APT(Advanced Persistent Threat，高级持续性威胁)攻击提升了反取证能力，提高了对取证活动的发现能力，并在发现取证活动后，会限制取证活动的进行。进而使得现有的取证方式，无法更加有效的获取到目标数据。

发明内容

针对上述技术问题，本发明采用的技术方案为：

根据本发明的一个方面，提供了一种分段式数据获取方法，所述方法包括如下步骤：

与目标终端建立通信连接；

根据第一数据获取策略，对目标终端进行第一获取处理；第一获取处理用于获取目标终端中属于第一预设类别的若干目标数据；目标数据用于表示目标终端是否受到非授权用户的网络攻击。

在第一获取处理的过程中，根据已获取到的目标数据，得到目标切换参数。

根据目标切换参数，得到第一获取处理的切换度；切换度为用于确定是否从第一获取处理切换至第二获取处理的判定参数。

若切换度大于第一切换阈值，则根据第二数据获取策略对目标终端进行第二获取处理；第二获取处理用于获取第二预设类别的若干目标数据；第二获取处理的数据获取速度大于第一获取处理的数据获取速度；所述第二预设类别包含若干第一预设类别。

根据本发明的第二个方面，提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的一种分段式数据获取方法。

根据本发明的第三个方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的一种分段式数据获取方法。

本发明至少具有以下有益效果：

本发明中将数据获取的过程设置为两个阶段，也即第一获取处理和第二获取处理，第一获取处理为静默取证阶段，第二获取处理为公开取证阶段，具体的通过切换度来控制静默取证阶段和公开取证阶段间的切换。对应的，在初期进行静默取证的过程中，由于取证的动作较小，所以被攻击者发现的可能性也较小。但是当切换度较大时，也就意味着攻击者已经基本发现了取证活动，所以这个时候也需要数据获取速度有大幅度的提升，来快速获取有效数据。

通过本发明的两种取证方式的配合，可以降低现有的反取证方法，在取证活动中被发现的可能性，进而会降低对取证活动的限制。以便于更加有效的获取到目标数据。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种分段式数据获取方法的流程图。

图2为本发明实施例提供的一种远程数据获取方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

作为本发明的一个方面，如图1所示，提供了一种分段式数据获取方法，该方法包括如下步骤：

S100：与目标终端建立通信连接。该步骤可以与后续的S10相同。

在与目标终端建立通信连接之后，即可开启对目标终端进行数据取证的任务。后续的S23中提供了一种实施数据取证的方法。

另外，S23还可以为分阶段分类别实施数据取证的方法。具体为，将数据获取的过程设置为两个阶段，也即第一获取处理和第二获取处理，第一获取处理为静默取证阶段，第二获取处理为公开取证阶段，具体的通过本实施例中S500来控制具体切换至哪一个阶段。对应的，静默取证阶段可以与对取证装置进行隐藏的方式相配合，以减少被攻击者发现的几率。

目标获取策略包括第一数据获取策略及第二数据获取策略；目标数据包括第一目标数据及第二目标数据。

S200：根据第一数据获取策略，对目标终端进行第一获取处理。第一获取处理用于获取目标终端中属于若干第一预设类别的目标数据，也即第一目标数据。目标数据用于表示目标终端是否受到非授权用户的网络攻击。

第一目标数据可以为一些在进行收集的过程中所占用的系统资源较小的信息，如一些变化频率较低的信息。具体的，可以为上述目标数据收集子策略中，确定的拟收集目标数据的范围及拟收集目标数据的种类中的一部分信息。例如，范围选取端点基本信息、系统自启动项、计划任务、系统服务、系统注册表信息、开放的端口、ARP表信息、路由表信息、多种日志等，种类选取.log等，作为阶段一（静默取证阶段）需要进行收集的第一目标数据。

该部分信息在收集的过程中，占用的系统资源较少，对系统中正在进行的进程扰动较小，更不容易被攻击者发现。

将上述目标数据收集子策略中，确定的拟收集目标数据的范围及拟收集目标数据的种类，的全范围和全种类作为阶段二（公开取证阶段）需要进行收集的第二目标数据。

S300：在第一获取处理的过程中，根据已获取到的目标数据，得到目标切换参数。

进一步的，S300包括：

S301：根据预设赋值权重及当前已获取到的目标数据，得到当前时刻每一预设参数对应的目标切换参数A₁ ^t、A₂ ^t、…、A_i ^t、…、A_z ^t。A_i ^t为当前时刻第i个目标切换参数。A_i ^t=K_i*B_i ^t；K_i为第i个预设参数对应的预设赋值权重。B_i ^t为在当前时刻第一预设类别中属于第i个类别的预设参数已出现的次数。z为预设参数的总数量，i=1、2、…、z。t为当前时刻的标识。

S302：根据目标切换参数，得到第一获取处理的切换度，包括：

根据A₁ ^t、A₂ ^t、…、A_i ^t、…、A_z ^t，得到当前时刻第一获取处理的切换度C^t。C^t满足如下条件：。

预设参数及对应的预设赋值权重，可以根据实际使用场景进行设定，在设定过程中需要满足预设参数可以表明被攻击者发现的程度，与其对应的预设赋值权重成正比。如：

一、针对Windows操作系统，本装置名称为“Administrator_E”的Windows本地用户身份和权限被突然恶意更改的预设参数，包括如下3种：

1.表示用户“Administrator_E” 被突然或短时间内被反复从Windows本地组之中的“Administrators”组中删除的预设参数。其对应的预设赋值权重可以为1.5。

2.表示用户“Administrator_E”被突然或短时间内被反复禁用或锁定的预设参数。其对应的预设赋值权重可以为1.4。

3.表示用户“Administrator_E”被突然或短时间内被反复降权至Windows本地组之中的“Guests”组的预设参数。其对应的预设赋值权重可以为1.4。

二、针对Linux操作系统，表示本装置名为root_E的用户身份的UID被突然或短时间内被反复设置为非0的预设参数。其对应的预设赋值权重可以为1.5。

三、表示本装置静默取证阶段运行过程中，（疑似）受害端点通过“通用串行总线控制器-驱动程序-禁用设备”被突然设置或短时间内被反复设置的预设参数。其对应的预设赋值权重可以为1.2。

四、表示本装置静默取证阶段运行过程中，“卸载设备”被突然设置或短时间内被反复设置的预设参数。其对应的预设赋值权重可以为1.2。

五、表示本装置的隐蔽状态被突然解除、隐蔽设置被突然篡改的预设参数。其对应的预设赋值权重可以为1.7。

由此，根据S300中的对各种表示被攻击者发现程度的参数的计算，可以生成得到第一获取处理的切换度，切换度越高，则表示第一获取处理被发现的风险越高。

进一步的，第一获取处理包括如下步骤：

S201：每当到达更新时刻，根据上一相邻获取周期中得到的第一获取处理的切换度，生成当前获取周期的数据获取速度。其中，V₁ ^d满足如下条件：。V₁ ^d为第d个获取周期的数据获取速度。V₀为初始数据获取速度。/>为第d-1个获取周期中得到的第一获取处理的切换度的均值。avg()为均值函数。C_d-1为第d-1个获取周期中得到的所有第一获取处理的切换度。

S202：根据当前获取周期的数据获取速度，获取属于若干第一预设类别的目标数据。

获取周期与更新时刻是相同的概念。也即若以1min为一个获取周期，则以起始时间为首，后续的每隔一分钟的时间点即为一个更新时刻。而在一个第一获取处理的周期中，会设置多个更新时刻，以实施调节数据的获取速度。如，一个第一获取处理的周期为3min，起始时间为00:00:00，获取周期为30s，则00:00:30、00:01:00、00:01:30、00:02:00、00:02:30、00:03:00为对应的更新时刻。

通过设置多个更新时刻，可以对一个第一获取处理的周期中的数据获取速度进行实时调整。具体的，由可知，/>相当于对V₀的一个调节系数。当d=1时，C₀中由于没有数据所以会赋值为0。此时/>，V₁ ^d=V₀，也即在第一个获取周期中会一直以一个较低且较平稳的速度，使得获取数据更加隐蔽。并且e的指数函数具有在前期的上升幅度较小，在后期的上升幅度较大的特点。所以，在初期进行静默取证的过程中，由于取证的动作较小，所以被攻击者发现的可能性也较小，也即切换度较小，对应的数据获取速度虽有升高，但是幅度较小。由此，也使得攻击者不容易发现取证活动。但是当切换度的较大时，也即对应e的指数函数的后期，此时会随着切换度的增加，/>会增加的更加迅速，对应的数据获取速度也会有大幅升高。通常在切换度较大时，也就意味着攻击者已经基本发现了取证活动，所以这个时候也需要数据获取速度有大幅度的提升来快速抢有效数据。

同时，在第一获取处理的后期将数据获取速度快速提高，也有利于切换至第二获取处理时，数据获取速度可以进行平稳过度，有利于延长数据获取终端的寿命。

S400：根据目标切换参数，得到第一获取处理的切换度。切换度为确定是否从第一获取处理切换至第二获取处理的判定参数。

S500：若切换度大于第一切换阈值，则根据第二数据获取策略对目标终端进行第二获取处理。第二获取处理用于获取若干第二预设类别的目标数据，也即第二目标数据。第二获取处理的数据获取速度大于第一获取处理的数据获取速度。第二预设类别包含若干第一预设类别。

当切换度大于第一切换阈值时，则表示攻击者已经发现了当前正在进行取证活动。同时攻击者也会快速发起反击，如快速删除攻击所留下的痕迹数据等。在这个时候，则需要数据获取终端以最快的速度对第二目标数据进行收集，以保证获取到更多的有效证据。所以需要第二获取处理的数据获取速度大于第一获取处理的数据获取速度。同时，第二获取处理阶段也可以与上述的挂载防护配合使用，在该阶段为数据获取终端提供更高的系统优先级，以保证系统资源可以更多的向取证进程倾斜。

作为本发明的一种可能的实施例，在根据目标切换参数，得到第一获取处理的切换度之后，该方法还包括：

S600：当切换度大于第二切换阈值时，对已获取到的第一目标数据进行攻击特征分析处理，生成攻击等级序列。第二切换阈值小于第一切换阈值。

攻击特征分析处理包括：

S601：根据特征编码映射表，对已获取到的每一第一目标数据中包含的特征信息进行编码。特征编码映射表中包括多个特征编码，每一特征编码对应至少一个特征信息。

S602：根据每一特征信息对应的特征编码以及出现顺序，生成每一第一目标数据的攻击向量。

S603：将与第一目标数据的攻击向量相似度最高的预设攻击参照向量对应的攻击标识，作为第一目标数据的攻击标识。

具体的，由于在同一使用场景中，网络攻击所针对的目标资源以及常用攻击手法，具有一定的相似之处。也即每一次的攻击活动中都会具有一定的相同或相似之处，所以也会产生对应的特征数据。由此，根据这一特点可以获取到特征编码映射表。根据该表可以对具有相同或相似的特征数据赋予相同的编码。再按照一个攻击过程中，各个特征数据的出现顺序可以形成每一第一目标数据的攻击向量。同理，也可以按照上述方法，根据历史中发现的完整的网络攻击所产生的特征向量，生成多个对应的预设攻击参照向量。

以如下示例对上述步骤进行说明，例如某一次网络攻击包括如下流程：

1、（疑似）受害端点上存在攻击者/组织投递的鱼叉式钓鱼邮件，邮件中包含恶意代码及诱饵文件的ISO镜像；其中，诱饵文件多与（疑似）受害端点用户所属国家的军事、外交等部门及行业相关，例如，“~MSTIP ROTCU Roster of Cadets and List of TrainingStaff_emb.doc”（意为“MSTIP ROTCU学员名册和培训人员名单”）、“Availabilityof HPAParade Ground.pdf”（意为“HPA 阅兵场的可用性”）等。

2、（疑似）受害端点用户被其诱导打开镜像中伪装成文档的exe文件后，恶意代码以DLL侧加载的形式加载了恶意模块，例如，加载的恶意模块伪装成MSVCR100.dll（VisualStudio 2010的一个动态链接库文件）。

3、恶意模块运行后读取了诱饵文档尾部的数据，解密出XML格式的文件（即释放包含恶意XML文件载荷），并建立持久化机制（例如，修改注册表）、创建计划任务（例如，感染机器于每周星期三、星期五的13：15被强制注销，迫使用户需要重新登录），每当（疑似）受害端点用户登陆时，调用PowerShell打开MSBuild.exe文件（Microsoft 生成引擎）执行恶意XML文件，将XML文件中存放的数据解密后加载到内存中执行。

4、解密后的数据为恶意载荷KamiKakaBot，与Telegram通信并窃取浏览器数据、执行远程控制命令等功能；其中，涉及KamiKakaBot中的指令包括SHOWUP、GETBRWS、TOKENNEW、XMLNEW等。

根据上述4个攻击过程中所产生的特征数据，得到的向量可以为（11,21，32,43）。其中，当存在钓鱼邮件且其中存在军事、外交等信息时，则其在特征编码映射表中对应的编码为11；存在打开exe文件，且exe文件以DLL侧加载的形式加载文件，则其在特征编码映射表中对应的编码为21；存在解密出XML格式的文件，并出现修改注册表的行为，则其在特征编码映射表中对应的编码为32；恶意载荷为KamiKakaBot，且与Telegram通信，则其在特征编码映射表中对应的编码为43。

由此，通过向量之间的相似度计算，可以评价当前获取到的第一目标数据所表示网络攻击，最有可能是哪一种预设攻击参照向量对应的网络攻击。

进一步的，在S603之前，攻击特征分析处理还包括：

S613：对每一攻击向量进行相似度计算，得到与每一攻击向量相似度最高的预设攻击参照向量。

相似度计算包括：

S623：生成与攻击向量的长度相同的滑窗。

S633：使用滑窗依次在每一预设攻击参照向量上进行滑动，生成每一预设攻击参照向量的参照子向量集E₁、E₂、…、E_g、…、E_p。其中，E_g为第g个预设攻击参照向量的参照子向量集。E_g=（E_g ¹、E_g ²、…、E_g ^h、…、E_g ^f(g)），E_g ^h为E_g中的第h个参照子向量。f(g)为E_g中参照子向量的总数量，h=1、2、…、f(g)。p为预设攻击参照向量的参照子向量集总数量，g=1、2、…、p。

由于，第一获取处理的阶段为静默取证阶段，其数据获取速度低，且获取的数据量较少，数据的种类有限制。所以获取到的第一目标数据，也很可能为某一次完整攻击的一部分流程的数据，所以最终确定出来的攻击向量的长度也会小于预设攻击参照向量的长度。如第一目标数据仅为上述网络攻击示例的第2和第3个步骤的数据，此时生成的对应的攻击向量也即为（21，32）。

所以，为了解决上述问题，先使用滑窗依次在每一预设攻击参照向量上进行滑动，以划分出与攻击向量响应长度的参照子向量，以便可以更加准确的进行后续的相似度计算。如上述的预设攻击参照向量会被划分成（11,21）、（21，32）和（32,43）三个参照子向量。其中攻击向量（21，32）与第二个参照子向量（21，32）的相似度最高。

S643：将攻击向量与每一参照子向量进行向量相似度计算，将相似度最高的参照子向量所属的预设攻击参照向量，作为与攻击向量相似度最高的预设攻击参照向量。

S604：根据每一种攻击标识的总数量，生成攻击等级序列。其中，攻击标识的数量越多该攻击标识具有的攻击等级越高。

S700：根据攻击等级序列，调整第二数据获取策略中对应获取子策略的优先级。

优选的，第二数据获取策略中的每一获取子策略对应唯一一种攻击标识。S700，包括：

S701：将每一获取子策略对应的种攻击标识在攻击等级序列中的攻击等级，作为每一获取子策略的优先级。

根据上述步骤可以为获取到的每一第一目标数据匹配对应的攻击标识，然后，通过统计可以确定出每一种攻击标识的出现次数，出现次数越多对应的攻击标识的攻击等级越高。所以，对这一攻击标识所表示的网络攻击的取证策略也需要更高的优先级。以便于更加有效的进行取证。本实施例中，可以通过静默取证阶段获取到的少量数据，来快速预判目标终端当前受到的网络攻击种类以及攻击等级，进而依据该特征，对公开取证阶段的取证子策略进行及时调整，以便在公开取证时，可以更加高效的获取有效数据。

作为本发明一种可能的实施例，该方法还包括：

S800：每当到达新的更新周期时，根据上一更新周期中获取的第一目标数据及第二目标数据，对已有的预设攻击参照向量及已有的获取子策略进行调整。

本实施例中更新周期的长度可以根据使用场景自行设定，如可以为1周或1个月等。本实施例中可以根据历史周期中获取到的第一目标数据及第二目标数据，所反映出来的网络攻击的特征数据来形成新的预设攻击参照向量，以及新的对应的取证子策略。并以此对已有的预设攻击参照向量及已有的获取子策略进行更新补充，以保证后续数据获取的有效性。

作为本发明的另一个方面，如图2所示，提供了一种远程数据获取方法，方法包括如下步骤：

S10：通过物理接口与目标终端建立通信连接。

具体的，本发明中的目标终端可以为：服务器（Server）、台式电脑（PC）、笔记本电脑（Laptop）、平板电脑（Pad）和智能手机（Smart Phone）等移动终端，以及虚拟化维度的虚拟机（Virtual Machine），不包括嵌入式终端设备、物联网（IoT）终端（含智能穿戴设备）等。

数据获取终端可以为U盘，硬盘等带有存储空间及控制芯片的设备。

该物理连接动作既可以由（疑似）受害端点资产拥有者/责任人（通常为客户自己）或客户组织内部的网络安全管理人员操作完成，也可以由与客户具有合作关系的网络安全企业的安全服务工程师操作完成；除按需移除该装置（即也可以永久性保留该装置物理连接、永不移除）之外，该物理连接动作是本实施流程中唯一一次需抵近网空威胁（疑似）受害端点实体设备的操作，其余操作只需远程操作即可。

本实施例中通过物理接口，建立数据获取终端与目标终端之间的通信连接。可以保证通信连接更加稳定，不易被干扰被窃取，具有更高的安全性，同时也可以具有更高的数据传输速度，以保证数据获取终端可以更加快速的从目标终端上复制数据。

同时，该方式也可以支持对目标终端实施除用户以外人员无需进驻现场、对目标终端零物理接触情况下的长时间范围的持续性远程取证操作。有益于（疑似）受害端点也即目标终端，所属用户保障其对于端点设备严格的物理抵近防护要求。例如，禁止一切外来人员物理抵近接触设备等、对外来人员进入管控要求的遵从度。

S20：循环对目标终端进行数据获取处理，得到目标数据。

循环对所述目标终端进行数据获取处理，可以长时间持续性的对目标终端上的网络攻击进行取证。由此，在目标终端（疑似）遭受网络威胁侵害后，可以在发现后的第一时间得到及时有效的威胁取证支撑，可以进一步抑制所遭受的网空威胁情势恶化。该方式的取证速度即时性，会远高于安全工程师到现场进行取证处理的速度及即时性。有益于网络安全厂商在降低工程师赶赴用户现场取证相关人力资源成本开销的前提下，为其用户提供持续时间更长、证据收集效果更好的网空威胁取证作业。

数据获取处理包括：

S21：将当前已载入的数据获取策略的版本号与策略库中的最高版本号进行比对。

S22：若当前已载入的数据获取策略的版本号小于策略库中的最高版本号，则将最高版本号对应的数据获取策略作为目标获取策略。

具体的，数据获取终端的内置存储中的取证策略集合涵盖多套取证策略，也即数据获取策略，包括但不限于：

默认内置的取证策略Policy_Default，且每一取证策略中包含默认内置的多个子策略，如目标数据收集子策略、数据存储子策略、数据加密子策略及数据传输子策略。Policy_Default的版本号为Policy_000，是版本号最低的策略。

后续更新版本的取证策略Policy_001至 Policy_N（N为大于1的正整数），均为远端安全分析中心也即目标收集终端，批量推送/定点下发的更新版取证策略，包含更新版的目标数据收集子策略、数据存储子策略、数据加密子策略及数据传输子策略。Policy_001至Policy_N的版本号随数字增大而增高，例如，Policy_002＞Policy_001＞Policy_Default（Policy_000）。

取证策略选取主要基于两层判断，即“除默认内置策略外，是否具有更新版策略？”和“除最近一次选取的策略外，是否具有更新版策略？”，经过上述判断后可以保证当前使用的取证策略为最新的策略，以保证取证效果。具体的判断步骤如下：

第一层判断：除默认内置策略外，是否具有更新版策略？

若判断结果为“否”，即取证策略集合中只有1套策略，且该策略为默认内置的取证策略Policy_Default，则继续执行步骤S23。

若判断结果为“是”，即除默认内置策略Policy_Default之外，还有其它的更新版策略，则继续执行如下第二层判断。

第二层判断：除最近一次选取的策略外，是否具有更新版策略？

若判断结果为“否”，即取证策略集合中除最近一次选取的策略外，没有其它的更新版策略，则无需重复加载相同取证策略，直接继续执行步骤S23。

若判断结果为“是”，即取证策略集合中除最近一次选取的策略外，又有了更新版策略，则继续执行步骤S22。

本步骤是一个支持定期重复执行的步骤，即定期、重复地执行上述两层判断，以便确保由默认内置取证策略（Policy_Default）完成初始化取证作业运行的基础上，能够及时采用更新版本的取证策略（Policy_001至 Policy_N）；此处，“定期”的时间间隔、“重复”的次数等参数，依据客户需求实施个性化配置。

与此同时，由于取证策略集合中的策略及其数量，受远端安全分析中心发出的策略管理指令的控制而增减，即在取证装置与所连接（疑似）受害端点（也即目标终端）完成初始连接和首轮方法运行之后，仍然可能出现取证策略集合中仅有默认内置取证策略（Policy_Default）的情况（例如，该取证装置暂未得到远端安全分析中心推送/下发的更新版策略数据，取证策略集合中此前获取的更新版策略被管理性删除等），因此，重复执行判断过程中，第一层判断具有长久保留的必要性。

子策略中的“目标数据收集子策略”中，对目标数据的收集给予了具体规定，包括但不限于：

拟收集目标数据的范围，例如，拟定收集目标数据范围包括端点基本信息、进程信息、进程使用的模块信息、进程所含的子进程信息、线程信息、文件句柄信息、动态链接库（Dynamic Link Library，DLL）信息、加载的驱动程序、系统自启动项、计划任务、系统服务、服务提供商接口（ServiceProvider Interface，SPI）信息、系统注册表及其变更信息、内核模块信息、系统服务描述符表（System Services Descriptor Table，SSDT）和影子系统服务描述符表(Shadow System Services Descriptor Table，Shadow SSDT）信息、消息钩子、程序钩子和内核钩子、目录对象、主引导记录（Main Boot Record，MBR）信息、DPC定时器信息、系统共享信息、用户及其账号变更信息、命令行历史记录、开放的端口、ARP表信息、路由表信息、当前入站和出站网络连接信息、网络连接历史记录、Hosts信息、DNS访问数据、浏览器浏览历史记录、IE插件信息、操作系统日志、应用程序日志、系统安全日志、系统文件安装日志、文件操作日志、移动存储传输日志、光盘读写日志、软盘读写日志、扫描打印日志、即时通讯（Instant Messaging，IM）传输数据、在线视频传输数据、邮件传输数据、下载文件数据、屏幕影像数据、（疑似）恶意代码样本文件等。

拟收集目标数据的种类，例如，拟定收集目标数据种类包括但不限于.dll、.exe、.log等。

拟收集目标数据的生产者（数据源），例如，拟定收集（疑似）受害端点网络接口卡（NIC）产生数据。

收集持续时长，例如，拟定收集持续时长为24小时、2天、3周、4个月、1年等。

收集启动/暂停/终止的绝对时间、相对时间间隔，例如，拟定收集于2023年1月1日00:00启动/暂停/终止、每天22:00启动/暂停/终止、每隔3天启动/暂停/终止等。

收集暂定/恢复的条件，例如，拟定当（疑似）受害端点CPU利用率连续5分钟平均值高于95%时收集暂停、CPU利用率连续5分钟平均值低于10%时恢复收集等。

S23：根据目标获取策略，对目标终端进行数据获取处理，得到目标数据。目标数据用于表示目标终端是否受到非授权用户的网络攻击。

取证策略选取与管理模块对通过上述S22确定的取证策略，实施载入。在载入前，还需要判定一下该策略是否已经处于完成载入可以直接使用的状态。若此时已经有近期选取完成了一轮方法运行的策略或刚才选定好的策略处于已完成加载的可用状态，则目标终端直接使用目标获取策略，对（疑似）受害端点实施网空威胁相关数据的取证性采集。

优选的，目标获取策略包括目标数据收集子策略、数据存储子策略、数据加密子策略及数据传输子策略。

具体的，可以根据目标获取策略包括的数据存储子策略、数据加密子策略及数据传输子策略，来进行数据的存储、加密以及传输。

如子策略“数据存储子策略”中，对目标数据的存储给予了具体规定，包括但不限于：

目标数据的存储位置，例如，日志数据存储位置设定为Built-in_Storage\Evidence\Log目录等。

目标数据的存储空间上限，例如，目标数据总体占用存储空间≤512GB、（疑似）恶意代码样本文件占用存储空间≤20GB等。

目标数据存储空间占用的触发传送阈值，例如，75%，即取证存储数据量达到总存储空间的75%时满足了触发传送条件。

目标数据存储空间自清理方式及其触发阈值，例如，当存储空间被占用≥95%后，滚动覆盖最早时间的旧数据等。

目标数据是否进行压缩存储；若进行压缩存储，采用压缩算法、压缩格式等参数的设定。例如，进行压缩存储，采用压缩算法LZ4，采用压缩格式Zip等。

目标数据是否进行加密存储；若进行加密存储，采用加密/解密算法、密钥安全管理方法等。例如，进行加密存储，采用加密算法SM4，通过KMS托管密钥等。

基于取证策略的数据加密。目标数据加密与传送模块依据选用的取证策略中的子策略“数据加密子策略”，对已存储于内置存储和扩展存储中的、拟定加密传送的取证数据，实施发送前加密。

子策略“数据加密子策略”中，对目标数据的加密给予了具体规定，包括但不限于：

采用加密方法，例如，采用对称加密算法等。

采用加密算法，例如，采用加密算法RC4等。

采用密钥安全管理方法，例如，采用远端安全分析中心内建KMS托管密钥等。

基于取证策略的数据传送。目标数据加密与传送模块依据选用的取证策略中的子策略“数据传输子策略”，对已完成发送前加密的取证数据，以远端安全分析中心为目的地进行传送通信，并接收来自远端安全分析中心反馈回来的确认信息，以保障数据传送可靠性。

子策略“数据传输子策略”中，对目标数据的传送给予了具体规定，包括但不限于：

数据传送方式，例如，首次全量且后续增量传送、每次全量传送等。

数据传送时间及其间隔，例如，实时传送、每隔24小时、每自然日22:00等。

数据传送触发条件，例如，依据配置时间按时传送、依据目标数据存储空间占用的触发传送阈值、无条件传送等。

S24：将目标数据发送至目标收集终端。

目标收集终端（安全分析中心）与数据获取终端（U盘）之间建立通信连接，由此便于目标收集终端对数据获取终端发起对应的控制指令，以远程控制取证过程。如：是否继续循环执行数据获取处理程序。

本发明会在通过物理接口与目标终端建立稳定的通信连接后，循环对所述目标终端进行数据获取处理，以得到目标数据。由此，可以长时间持续性的对目标终端上的网络攻击进行取证。进而可以克服现有的一些APT攻击，通过短时间暂停/中止或高度隐匿其关键威胁行为来避开取证的问题。以使得取证数据更加全面、提高取证数据价值，进而使得获取到更加有效的数据。

作为本发明一种可能的实施例，S10：通过物理接口与目标终端建立通信连接，包括：

S11：在通过物理接口完成数据获取终端与目标终端的物理连接后，数据获取终端向目标终端发送通信请求。

S12：若数据获取终端无法接收到目标响应信息，则从备用驱动库中获取目标驱动程序进行加载。备用驱动库配置于数据获取终端中。

本实施例主要为，完成物理连接后，取证装置的接口适配过程。本发明取证装置通过当前主流、常用接口，物理连接至（疑似）受害端点，由接口驱动适配模块实施接口适配。

基于（疑似）受害端点的驱动程序存在已经遭受网空威胁破坏、不能正常运行的可能性，接口驱动适配模块判断装置可以按照上述步骤判断所连接端点能否给予驱动：

若能给予驱动，则取证装置接口适配所需驱动优先采用所连接端点已有驱动。

若不能给予驱动，则取证装置需采用备用驱动。取证装置接口适配所需驱动采用取证装置自身内置存储中的接口驱动程序集合（也即备用驱动库）作为备用驱动提供来源，以完成驱动安装，实现取证装置与其所连接（疑似）受害端点之间的控制指令、数据传输通道的打通。

装置内置存储中的接口驱动程序集合涵盖当前主流、常用接口驱动程序，包括但不限于USB Type-A接口驱动、USB Type-C接口驱动、USB Micro-B接口驱动、Lightning接口驱动等。

在S12之后，本发明还包括对目标终端的挂载防护方法，具体如下：

在取证装置内的“取证控制程序”中，增设“取证装置挂载防护”功能模块，来执行对目标终端的挂载防护方法。通过为取证装置赋予端点操作系统高等级管理权限的方式，实现挂载防护。本发明中具体公开对Windows操作系统及Linux操作系统的挂载防护方法作为实例。

一、针对Windows操作系统的取证装置挂载防护方法

本取证装置物理性插接于（疑似）受害端点之后，“取证控制程序”将本装置以名称为Administrator_E（取自Evidence首字母）的Windows本地用户身份添加进入Windows本地组之中的“Administrators”组，具备该（疑似）受害端点操作系统管理权限。

针对该（疑似）受害端点“通用串行总线控制器 - 驱动程序 - 禁用设备”已被攻击者设置的情况，给予“启用设备”操作。

针对该（疑似）受害端点“卸载设备”已被攻击者设置的情况，给予“扫描检测硬件改动”操作并采用本装置内部的接口驱动程序集合（备用）重新挂载。

针对该（疑似）受害端点的本地用户和组，本取证装置支持实施以下操作：

禁用或锁定可能已被攻击者利用的“Administrator”用户，或将其从所隶属的“Administrators”组中删除。

禁用或锁定 “DefaultAccount”用户，或将其从所隶属的“System ManagedAccounts Group”组中删除。

禁用或锁定“Guest”用户，或将其从所隶属的“Guests”组中删除。

除“WDAGUtilityAccount”用户（系统为Windows Defender应用程序防护方案管理和使用的用户帐户）、“Administrator_E”用户之外，禁用或锁定其他一切可疑用户。

除“Administrator_E”用户之外，从“Administrators”组中删除其他一切可疑用户。

从“System Managed Accounts Group”组中，删除一切可疑用户。

从“Guests”组中，删除一切可疑用户。

支持对疑似攻击者的用户实施降权处理，例如，将其利用的用户从“Administrators”组降权至“Guests”组。

支持对已登录操作系统的疑似攻击者用户实施强制性注销操作。

同时，基于与国内主流端点防护系统/软件（包括但不限于反病毒系统/软件AV、端点防御系统EPP、端点威胁检测与响应EDR等）产品建立信任关系，通过添加受信清单等方式，在（疑似）受害端点系统中相关端点防护系统/软件仍处于运行状态下，最大程度上避免造成对本取证装置操作的误拦截或损伤。

二、针对Linux操作系统的取证装置挂载防护方法

本取证装置物理性插接于（疑似）受害端点之后，“取证控制程序”将本装置以名称为root_E（取自Evidence首字母）的用户身份设置其UID为0，等同于超级用户root或超级管理员，使其具备该（疑似）受害端点操作系统管理权限。

在S12之后，本发明还包括对目标终端的隐蔽性保护方法，具体如下：

在取证装置内的“取证控制程序”中，增设“装置隐蔽保护”功能模块，来执行对目标终端的隐蔽性保护方法。通过在（疑似）受害端点Windows操作系统的设备管理器中隐藏本装置设备，延缓本取证装置及其作业被攻击者发现的时间，从隐蔽性维度对取证装置及其作业提供保护。

通常情况下（即攻击者并未在（疑似）受害端点Windows操作系统的设备管理器中设置“显示所有设备”的情况下），设备管理器不显示隐藏的设备。“装置隐蔽保护”功能模块基于Windows操作系统在设备管理器中隐藏设备的两种方法，将装置自身标记为“隐藏设备”，以此实现在设备管理器中的隐藏。具体方法如下：

一、从驱动程序中隐藏本取证装置的方法

可以通过以下两种方法可将本装置设备的驱动程序标记为隐藏：

1.1函数驱动程序或函数筛选器驱动程序可以通过响应IRP_MN_QUERY_PNP_DEVICE_STATE IRP来要求操作系统隐藏已成功启动的设备。IRP到达时，驱动程序必须在驱动程序调度例程中将 IoStatus.Information中的PNP_DEVICE_DONT_DISPLAY_UI位设置为TRUE。

1.2在 Windows XP和更高版本的Windows操作系统上，总线驱动程序或总线筛选器驱动程序可以通过响应IRP_MN_QUERY_CAPABILITIES IRP来隐藏任何设备（启动或其他设备）。IRP到达时，驱动程序必须在驱动程序的调度例程中将Parameters.DeviceCapabilities.NoDisplayInUI成员设置为TRUE。在某些情况下，总线筛选器驱动程序可能需要在完成例程中设置此位。当基础总线驱动程序调度例程错误地清除其他驱动程序设置的所有功能字段时，需要执行此额外步骤。

二、使用ACPI BIOS隐藏取证装置的方法

包括如下两种具体的实施方式：

2.1可以将本装置设备标记为在 ACPI BIOS中隐藏。 BIOS 可以公开设备的_STA方法。_STA方法返回位掩码。位2(掩码0x4)指定设备管理器是否应使设备默认可见。如果设备应可见，则此位应为1；否则为0。

2.2在 Microsoft Windows 2000中，只能隐藏已启动、工作的设备。在Windows XP和更高版本的Windows中，还可以隐藏损坏的设备。_STA方法返回的位3(掩码0x8)指示设备是否正常工作。如果设备正常工作，则此位为1，否则为0。

由此，通过本实施例中挂载防护方法和/或装置隐藏方法，可以保证数据获取终端可以更加顺利的在目标终端上收集数据。

作为本发明一种可能的实施例，该方法还包括：

S30：获取更新获取策略，并加入策略库中。更新获取策略根据已得到的目标数据生成。更新获取策略的版本号为更新获取策略生成时的时间戳。

本方法中此处对于“更新版本策略”的衡量标准，主要包括取证策略集合中已有策略的套数、策略版本号高低、策略生成时间戳新旧等因素，即取证策略集合中不止默认内置策略（Policy_Default）这一套策略、具有版本号更高的策略、具有生成时间戳更新的策略等，均纳入“更新版本策略”的衡量和认定。

上述更新获取策略的生成以及下发，可以由远端安全分析中心来完成。

作为本发明一种可能的实施例，在S20之后，该方法还包括：

S40：将目标数据存储至数据获取终端的指定路径。指定路径开启执行权限禁止功能。

S41：当任意程序对指定路径执行写操作时，对程序的数字签名进行校验。

S42：若校验通过，则允许对指定路径进行写操作。

在上述方法实施流程中，仅该方法对应装置和计算机可读介质中的取证控制程序（具备专用数字签名）具有对取证装置存储（含内置存储和扩展存储）的写数据权限。在该存储空间内禁止其它一切可移植的可执行（Portable Executable，PE）文件的执行权限，以此“写保护”和“执行权限禁止”方式防范可能来自（疑似）受害恶意端点中恶意代码及其相关网空威胁对已收集取证数据的恶意篡改/破坏/删除、仿冒/伪造等攻击。

本发明的实施例还提供了一种非瞬时性计算机可读存储介质，该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序，该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。

本发明的实施例还提供了一种电子设备，包括处理器和前述的非瞬时性计算机可读存储介质。

本发明的实施例还提供一种计算机程序产品，其包括程序代码，当程序产品在电子设备上运行时，程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、移动终端、或者网络设备等）执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件（包括储存器和处理器）的总线。

其中，储存器存储有程序代码，程序代码可以被处理器执行，使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器（RAM）和/或高速缓存储存器，还可以进一步包括只读储存器（ROM）。

储存器还可以包括具有一组（至少一个）程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。

电子设备也可以与一个或多个外部设备（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（I/O）接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络（例如局域网（LAN），广域网（WAN）和/或公共网络，例如因特网）通信。网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（RAM）、只读存储器（ROM）、可擦式可编程只读存储器（EPROM或闪存）、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（LAN）或广域网（WAN），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种分段式数据获取方法，其特征在于，所述方法包括如下步骤：

与目标终端建立通信连接；

根据第一数据获取策略，对所述目标终端进行第一获取处理；所述第一获取处理用于获取目标终端中属于第一预设类别的若干目标数据；所述目标数据用于表示目标终端是否受到非授权用户的网络攻击；

在第一获取处理的过程中，根据已获取到的目标数据，得到目标切换参数；

根据所述目标切换参数，得到所述第一获取处理的切换度；所述切换度为用于确定是否从第一获取处理切换至第二获取处理的判定参数；

若所述切换度大于第一切换阈值，则根据第二数据获取策略对所述目标终端进行第二获取处理；所述第二获取处理用于获取若干第二预设类别的目标数据；所述第二获取处理的数据获取速度大于所述第一获取处理的数据获取速度；所述第二预设类别包含若干所述第一预设类别。

2.根据权利要求1所述的方法，其特征在于，在第一获取处理的过程中，根据已获取到的目标数据，得到目标切换参数，包括：

根据预设赋值权重及当前已获取到的目标数据，得到当前时刻每一预设参数对应的目标切换参数A₁ ^t、A₂ ^t、…、A_i ^t、…、A_z ^t；A_i ^t为当前时刻第i个目标切换参数；A_i ^t=K_i*B_i ^t；K_i为第i个预设参数对应的预设赋值权重；B_i ^t为在当前时刻第一预设类别中属于第i个类别的预设参数已出现的次数；z为预设参数的总数量，i=1、2、…、z；

根据目标切换参数，得到所述第一获取处理的切换度，包括：

根据A₁ ^t、A₂ ^t、…、A_i ^t、…、A_z ^t，得到当前时刻所述第一获取处理的切换度C^t；C^t满足如下条件：。

3.根据权利要求2所述的方法，其特征在于，第一获取处理包括如下步骤：

每当到达更新时刻，根据上一相邻获取周期中得到的第一获取处理的切换度，生成当前获取周期的数据获取速度；其中，V₁ ^d满足如下条件：；V₁ ^d为第d个获取周期的数据获取速度；V₀为初始数据获取速度；avg()为均值函数；C_d-1为第d-1个获取周期中得到的所有第一获取处理的切换度；

根据当前获取周期的数据获取速度，获取属于若干第一预设类别的目标数据。

4.根据权利要求1所述的方法，其特征在于，所述目标终端中属于若干第一预设类别的目标数据为第一目标数据；

在根据目标切换参数，得到所述第一获取处理的切换度之后，所述方法还包括：

当所述切换度大于第二切换阈值时，对已获取到的第一目标数据进行攻击特征分析处理，生成攻击等级序列；所述第二切换阈值小于第一切换阈值；

根据攻击等级序列，调整所述第二数据获取策略中对应获取子策略的优先级；

所述攻击特征分析处理包括：

根据特征编码映射表，对已获取到的每一第一目标数据中包含的特征信息进行编码；所述特征编码映射表中包括多个特征编码，每一所述特征编码对应至少一个特征信息；

根据第一目标数据包括的每一特征信息对应的特征编码以及每一特征信息的出现顺序，生成第一目标数据的攻击向量；

将与第一目标数据的攻击向量相似度最高的预设攻击参照向量对应的攻击标识，作为第一目标数据的攻击标识；

根据每一种攻击标识的总数量，生成攻击等级序列；其中，攻击标识的数量越多该攻击标识具有的攻击等级越高。

5.根据权利要求4所述的方法，其特征在于，在将与第一目标数据的攻击向量相似度最高的预设攻击参照向量对应的攻击标识，作为第一目标数据的攻击标识之前，所述攻击特征分析处理还包括：

对每一攻击向量进行相似度计算，得到与每一攻击向量相似度最高的预设攻击参照向量；

所述相似度计算包括：

生成与攻击向量的长度相同的滑窗；

使用滑窗依次在每一预设攻击参照向量上进行滑动，生成每一预设攻击参照向量的参照子向量集E₁、E₂、…、E_g、…、E_p；其中，E_g为第g个预设攻击参照向量的参照子向量集；E_g=（E_g ¹、E_g ²、…、E_g ^h、…、E_g ^f(g)），E_g ^h为E_g中的第h个参照子向量；f(g)为E_g中参照子向量的总数量，h=1、2、…、f(g)；p为预设攻击参照向量的参照子向量集的总数量，g=1、2、…、p；

将攻击向量与每一参照子向量进行向量相似度计算，将相似度最高的参照子向量所属的预设攻击参照向量，作为与攻击向量相似度最高的预设攻击参照向量。

6.根据权利要求5所述的方法，其特征在于，所述第二数据获取策略中的每一获取子策略对应唯一一种攻击标识；

根据攻击等级序列，调整所述第二数据获取策略中对应获取子策略的优先级，包括：

将每一获取子策略对应的攻击标识在攻击等级序列中的攻击等级，作为每一获取子策略的优先级。

7.根据权利要求1所述的方法，其特征在于，与目标终端建立通信连接，包括：

通过物理接口与所述目标终端建立通信连接。

8.根据权利要求6所述的方法，其特征在于，所述若干第二预设类别的目标数据为第二目标数据；所述方法还包括：

每当到达新的更新周期时，根据上一更新周期中获取的第一目标数据及第二目标数据，对已有的预设攻击参照向量及已有的获取子策略进行调整。

9.一种非瞬时性计算机可读存储介质，所述非瞬时性计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的一种分段式数据获取方法。

10.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的一种分段式数据获取方法。