网络作为获取信息的主要路径之一,人们对它的依赖程度也在与日剧增。然而,网络中存在的越来越多的入侵行为,给人们的日常生活带来了困扰,甚至会造成巨大的经济损失、威胁到国家的安全。传统的防御机制已不能胜任消除网络入侵的威胁这一重任,人们开始探索新的方法来打击网络入侵,网络取证技术就是在这种背景下发展起来的。网络取证的目的就是对黑客攻击后的痕迹进行取证分析,获取网络犯罪的电子证据,凭借电子证据对黑客进行控诉。无论是国外还是国内,网络取证技术的研究都处在起步阶段,本文的研究工作如下:1.系统的探讨了网络取证、计算机取证、数字取证、电子证据的基本概念,对网络取证的原则、过程、模型进行了总结,对入侵检测技术、蜜罐及计算机取证技术应用于网络取证过程中进行了分析,最后给出了网络取证的发展趋势。2.介绍了数据预处理的常用方法,包括数据清洗、数据集成与转换、数据降维、属性离散化及不平衡数据集的预处理等。并指出在网络取证过程中,面对海量、数据分布极度不平衡的网络数据,运用合理的数据预处理方法不仅可以节约大量的时间和存储空间,而且得到的挖掘结果能更好地起到决策和预测作用。3.提出了一种基于网络入侵检测的取证模型和取证方法。在取证的过程中,通过网络入侵检测系统来监控整个网络,不仅能够提供实时的动态信息,而且只需将入侵检测系统中的功能进行相应的修改和扩充,就能使它应用于网络取证,缩短了取证系统的开发周期。4.通过分析可知,从海量的网络数据中提取电子证据的过程与从海量数据中对离群数据规则的挖掘过程具有类似性。通过给出平均致密度的定义,提出了一种自动标记离群数据的新算法,并进一步在该算法和C4.5算法部分功能的基础上提出了一种基于离群数据自动标记的模糊决策树构造方法,并将其应用于网络取证。