计算机和互联网技术的快速发展,给人们的办公和生活带来了极大的便利。在人们越来越依赖于计算机的同时,以计算机为对象或工具的计算机犯罪也日益猖獗。计算机犯罪严重的危害了个人的隐私和利益以及社会的发展。为打击计算机犯罪,作为计算机科学和法学的交叉科学――计算机取证应运而生。计算机取证包括计算机证据的获取、保存、分析和归档的全过程。其中对计算机证据的分析过程是指从海量数据中发现有入侵嫌疑的数据,是获得犯罪证据的重要步骤。而计算机证据的来源复杂,格式也不统一,包括系统日志、入侵残留物、交换区空间等。论文主要探讨了Linux环境下基于日志分析的入侵取证原型系统的分析设计。首先介绍了入侵取证出现的大背景,紧接着对背景知识进行了简要的介绍,包括当前国内外研究情况以及论文中会使用到的一些基本知识。然后从入侵取证的目标出发,对方法论进行了详细的探讨。接下来分模块介绍了原型系统的设计和实现方法,并对原型系统进行了相应的测试。最后总结了目前入侵取证系统存在的主要发展障碍,为下一步的研究设定了目标。论文所设计的入侵取证系统主要包括三个功能模块:日志收集模块、日志分析模块、以及用户交互模块。日志收集模块负责从系统中收集各种日志,并将其导入数据库;日志分析模块负责从收集的日志中发现有入侵嫌疑的日志数据;而用户交互模块则作为用户同入侵取证系统之间交互的桥梁。在日志分析部分,作者结合了数据挖掘和模糊数学中的相关知识,对日志分析算法做出了探讨和研究。希望能够抛砖引玉,对计算机取证领域的研究者有所裨益。论文是省部级项目“重庆市电子政务外网安全综合性能测评”(合同编号:200401011)的系列研究成果之一。