计算机是人类社会的一项重要的发明,人们在享受计算机技术发展所带的便利的同时,伴随而来的计算机犯罪问题也严重困扰着人们的工作和生活。我们要打击和防范这种犯罪,关键是取得证明计算机犯罪的充分、有效、合法的证据。因此,计算机取证技术越来越受到人们的关注,并成为计算机安全领域研究的热点。计算机取证主要的工作就是依靠正确的法律依据和过程,收集存在于计算机系统中的数据信息,甚至需要从已经被删除、加密或破坏的文件中获取重要信息,并对获取的信息进行保存和分析,提取出与案件关联的证据提供给办案人员。计算机取证系统可分为电子证据的静态获取(即事后获取,主要关注硬件设备里包含的信息)和电子证据的动态获取(即实时的信息采集)。取证过程中获得的计算机系统运行时产生的可以用来证明案件事实的电磁记录物才能被称为电子证据。从计算机中获得的信息是海量的,如何对这些信息进行有效的分析,提取与案件关联的、反映案件客观事实的电子证据是计算取证的一个热点技术之一。目前,对于取证获得的数据分析的技术主要有:关键字分析,文件属性分析和模式匹配等,这些分析技术虽然可以在一定程度上帮助办案人员打击计算机犯罪,但是都存在自身的一些局限性,并需要大量的人工参与。因此,急需找出一种更为有效的方法来分析取证数据。数据挖掘就是从海量的、不完全的、有噪声的、模糊的数据中,提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程,非常适合数据分析。本文创新性的把数据挖掘技术应用于计算机取证的数据分析中,结合案件的特殊性,对大量的取证信息进行分析,提取出与案件关联、有用的信息,提高了证据分析效率和准确性。本文首先提出了计算机取证的原则和步骤;接着进一步的深入研究计算机取证的过程,设计和实现了针对windows操作系统的静态取证系统并对其进行了成功测试;研究了linux系统下获取证据信息的方法;然后本文研究了结合入侵检测技术的计算机动态取证过程,设计了动态取证系统;最后本文实现了数据挖掘中的关联规则算法——Apriori算法,并把关联规则挖掘应用于计算机取证的数据分析模块中,详细阐述了关联规则挖掘在计算机证据分析中的应用过程,包括数据的预处理和关联规则的发现。本文把关联规则挖掘应用在取证分析中,主要是针对取证获得的用户行为信息的关联分析,分析用户不同行为之间的联系;针对取得的日志文件分析;在动态取证分析中的应用研究;对取得的文档,在经过对文本关键词的提取后对这些关键词进行关联性分析。最后本文根据实际的情况提出对算法的一些改进措施:动态设置阈值和等级划分数据项。