随着计算机和网络技术的广泛应用和飞速发展,整个世界正在迅速地融为一体,网络已成为社会和经济发展的强大动力,其地位越来越重要。但是网络技术是一把“双刃剑”,其发展也为犯罪活动提供了新的空间和手段。目前,利用计算机进行犯罪的数量不断增加,网络入侵的现象也越来越严重,黑客攻击水平不断提高,网络犯罪呈现多样化。网络取证技术就是在这种形势下产生和发展起来的。网络取证的目的就是收集网络数据证据,重返犯罪现场,为诉讼案件提供准确有效的证据。快速报文的捕获、海量数据的分析和证据的完整性等问题是现有的网络取证技术研究的难点。本文针对网络数据量大、传统的入侵检测系统漏报率、误报率高的问题,提出了一种场景重构和报警聚合相结合的网络取证研究方法。通过报警的标准化、去冗余、场景重构与报警聚合,重构出入侵事件的完整的证据链。其中在去冗余中提出了去除失败攻击的思想,减少了对成功攻击事件的干扰。在场景重构中,通过反向关联的方法,减少了不必要的证据链,同时通过对孤立报警的补充,保证了证据链的完整性。在报警聚合中,增加了聚合同一攻击步骤的不同报警的方法。最后以抽象层和具体层两个层次重构入侵场景。具体层对应场景重构的证据链,关注于每台受害主机；抽象层对应报警聚合后的证据链,关注于入侵者和整个入侵过程。这种设计既保证了高层次入侵过程的清晰性,又保证了低层次入侵场景的完整性。最后通过实验证明了这些设计的准确性。