国办2006[11]号文《关于网络信任体系建设的若干意见》中明确提出了加强我国网络信任体系研究和建设工作的要求,责任认定作为网络信任体系的重要组成部分,是实现网络行为可核查、网络事件责任可追究和打击网络犯罪的重要途径。然而要有效实现责任认定,审计机制就不能够单纯的停留在数据的采集、查询和统计等功能上,重要的是要对审计数据进行深度挖掘分析,能够从海量的数据中提取出尽可能多的有用信息,从而为责任认定机制的高效运行提供强有力保障。责任认定数据分析系统的研究就是在这样的需求下提出的,目标是构建一个数据综合分析平台,能够把网络中位置各异、格式不一的日志和审计数据集中起来进行关联性分析,从而提供更加完备的责任认定依据,以满足责、权、利相统一的安全网络环境要求。随着网络信任体系建设进程的推进,计算机监控和取证的对象由原来单一的主机系统转变为由各种服务器、路由交换设备和安全设备等组成的网络系统,有用的证据往往分散在多种不同的日志中。由于日志种类繁多,格式不一,彼此之间的联系难以直接体现,传统手工分析模式面临极大困难。同时,激增的同志数据背后隐藏了许多重要信息,为了使分散的日志能够有效辅助取证工作,往往需要进行更高层次的分析——事件场景关联。我们在研究和分析了责任认定相关数据分析技术的基础上,提出了一种融合多源日志的基于事件“前提/结果”的事件场景关联方法,即PC-ECF,从而使本系统很好的解决了多源日志辅助取证进行自动分析的问题。通过基于日志融合技术的审计数据预处理方案的设计,本系统很好的实现了海量审计数据的约简,从而将原始数据量保持在关联分析工作可以处理的范围内。本文的另外一个工作重点是设计和实现了扩展IDMEF(intrusion detection messageexchange format)格式标准后用于表示安全事件的Event数据模型,解决了兼容性和互操作性问题,为标准化服务提供了标准接口,从而使得多种来源的审计数据可以进行集中关联分析。