本科研成果所完成的构建技术及原型系统，主要包括：前后端异常检测模块、异常检测结果决策融合模块、数据泄露攻击建模模块、数据泄露场景重构模块。

以Web数据泄露分析为例，前后端异常检测模块，用于对多源日志进行格式转换、数据清洗、特征提取等预处理工作，将多源日志划分为Web前端的流量特征、有效载荷和Web后端的数据库访问数据，分别基于iForest、BLSTM-CNN和Canopy-kmeans进行异常识别；异常检测结果决策融合模块，用于统计各个层次异常检测结果的时间属性，关联出相同的异常时间段，在该时间段内分析出相互通信的异常主机集群，为攻击建模和数据泄露场景重建锁定Web数据泄露事件的主要时间段、参与的异常主机以及对应的异常类型，实现对前后端乃至多个层次异常检测结果进行决策融合；数据泄露攻击建模模块，用于将决策融合后的异常时间和异常主机作为网格图的横纵坐标，从时间序列和异常事件因果关系的角度出发，将不同攻击阶段的异常联系和数据泄露事件的基本过程呈现在网格图中，以实现Web数据泄露事件的攻击场景建模；数据泄露场景重构模块，用于根据攻击网格图的攻击建模结果，初步描绘出数据泄露事件的场景，并审计攻击网格图中最终构成完整攻击场景的主机及对应时间段的相关日志数据，对数据泄露场景进行更详细的描绘，实现数据泄露事件的重构。

对比现有技术，本成果具有以下效果：采用安全取证及攻击链路还原思想，构造了一种面向数据泄露的安全事件取证方法。本发明的系统和方法能够合理有效地在数据泄露事件取证阶段，迅速找到复杂数据泄露事件的攻击者、涉及到的漏洞主机及重要资产，给安全管理员提供参考。