计算机犯罪行为是一种高科技犯罪行为,司法部门对这种行为进行审判、定罪需要充分合理的电子证据。而电子证据与传统证据相比,取证手段和分析方法都大相径庭。为还原计算机犯罪过程,有效地利用电子证据打击计算机犯罪行为,计算机取证分析技术已成为国内外研究的热点。日志记录了网络中各个设备的操作行为和运行状态,是计算机取证的重要数据来源。本文详细研究了对多源日志进行多重关联分析的计算机取证方法。获取不同数据源的日志进行取证分析,以降低场景遗漏的概率;通过基于属性相似度和基于因果关系的多重关联重构计算机犯罪场景,解释计算机犯罪过程,为司法部门进行计算机犯罪行为的审判提供有效的电子证据。本文主要研究工作如下:(1)通过多重关联分析方法完成计算机取证过程。首先使用基于属性相似度的关联算法对多源日志进行初步的关联分析,将具有相同或相似属性的日志聚合到同一犯罪场景中。第一重关联分析过后,日志被划分为多个犯罪场景。然后根据被取证系统的状态信息找到与之相对应的场景,再在该场景中进行第二重基于因果关系的关联分析,进一步分析日志之间存在的更深层次的逻辑联系。(2)在Peng Ning提出的基于因果关系的关联分析基础上,对因果关联算法进行改进,提出一种满足电子证据认定标准的逆向因果关联算法。从受害主机的最终状态开始分析,依据因果关联思想找到导致该状态的上一阶段攻击事件,以此类推,溯源整个计算机犯罪过程。并结合法律条令对电子证据的认定约束,排除不能作为证据使用的关联路径,实现计算机犯罪场景重构。(3)使用DARPA网络攻击测试数据集对改进的因果关联算法进行可行性验证。通过实验表明,改进后的算法在很大程度上化简了原有算法的复杂度,提高了计算机犯罪场景关联的效率。另通过获取北京交通大学多源日志数据对本文所述多重关联分析在实际取证过程中的应用进行实验,结果显示,相较于单纯地使用因果关联算法进行计算机取证来说,多重关联分析可大大减少犯罪场景重构过程的输入数据规模,同时减少不必要的证据关联。此外通过将多源日志取证与单源日志取证对比分析,证明多源日志取证能够有效地避免犯罪场景遗漏现象的发生。