本发明公开了一种分析入侵行为的溯源系统，包括前端目标系统和后端存储系统，二者通过私有网络互联，前端目标系统包括溯源信息收集模块和数据发送模块，后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块，溯源信息收集模块用于拦截操作系统调用，并根据操作系统调用产生对应的溯源信息，溯源信息包括文件对象、进程对象和网络连接对象，以及三种对象之间的依赖关系，数据发送模块用于将溯源信息进行数字签名并发送到后端存储系统的数据接收模块，数据接收模块用于对前端目标系统进行验证，并在验证通过后将溯源信息转发给溯源信息存储模块，否则丢弃该溯源信息。本发明的系统能使用户发现入侵的来源，以及入侵的具体行为。