随着互联网技术的发展,网络安全问题也日益严峻,人们为了保障网络安全也在不断研发新的技术,网络取证技术应运而生。网络取证是收集网络数据、识别入侵、分析数据、存储数据、判断入侵行为原因、增强安全防护设备等一系列活动的综合过程。通过对网络犯罪过程中遗留数据的提取与分析,可以对网络犯罪行为进行调查以及识别,抓捕犯罪人员。目前网络取证的证据来源主要为连网设备信息、网络数据流以及安全产品日志。本文主要针对防火墙日志和入侵检测日志进行分析取证。但是人工要从大量日志信息中获取有用信息十分困难,而且分析过的数据也无法对网络中的问题进行较好的体现,取证人员很难准确找到证据信息。针对上述问题,本文的工作主要分为三方面:1.针对获取有用信息困难的问题,本文采用关联规则挖掘算法对日志进行分析。关联规则挖掘算法在对日志进行处理时不需加入过多的先验知识就可以挖掘出日志数据中的频繁关联特征,既能过滤掉大量冗余数据,又能将对于事件重构有价值的日志数据间的关联关系展现出来,可方便取证分析人员进行事件重构。然而Apriori算法存在许多问题,因此本文采用一种基于矩阵的Apriori算法,适当解决了传统算法带来的扫描事务数据库次数过多以及产生大量候选项集的问题。2.针对取证人员无法从数据中准确找到有用信息的问题,本文采用可视化方法进行解决。使用可视化技术可以将这些数据中有价值的信息更加直观的呈现给取证人员,大大提高了网络取证的效率。目前常用的网络安全日志可视化方法主要有平行坐标轴、雷达图、散列图等,这些方法无法关联分析多属性之间的关系、只能针对某种事件类型具有较好的展示效果,针对这些问题本文使用图数据库对于关联频繁项集进行可视化展示。3.根据上述工作,本文设计并实现了网络安全日志可视化取证分析系统,采用改进的Apriori算法对日志进行关联规则挖掘,并在挖掘完成后使用图数据库进行展示,方便工作人员的进一步取证工作。