网络安全问题越来越受到人们的关注，为了解决网络攻击的简单化和网络防御的复杂化之间的矛盾，网络安全研究开始由单纯的被动防御向主动防御转变，将网络犯罪行为诉诸法律就是主动防御的一种。对网络犯罪行为取证问题的研究是网络犯罪诉讼的核心，只有取证问题得到解决，网络法规才能得以健全和执行，才能打击和震慑网络犯罪分子，从根本上保障网络的安全。 本文对网络取证技术进行了深入的研究和探讨。从技术的角度解决网络取证中存在的问题，为网络安全在法律上提供技术上的帮助。主要工作与成果有: 1、分析了当前网络安全的概况及存在的问题，提出只有借助法律手段才能解决日益严重的计算机网络犯罪；指出了网络取证的现实意义与价值。 2、分析了网络取证基本原理和蜜罐技术特点。在将蜜罐技术应用到网络取证基础上，提出了基于蜜罐技术的网络取证；并给出了系统模型和网络拓扑结构。该系统在蜜罐的协同工作下能实时、准确和全面地收集入侵证据，再现入侵过程。 3、针对攻击过程复杂化的特点，提出一种基于时序因果关联的取证分析方法。利用蜜罐系统中收集的取证数据源，建立多源时间序列数据集，利用时序分析技术提取输出变量的攻击事件序列和输入变量的异常点(攻击征兆)序列，建立两者之间的时态关联的传递函数，采用因果关系检验，分析网络入侵证据。 4、在网络取证系统模型的指导下，实现了系统各个模块。用虚拟蜜罐技术构建了取证中的蜜罐系统；利用Winpcap开发包编写包捕获程序以获取网络数据包作为原始的数据；采用SSL协议实现数据的安全认证传输；通过模式匹配和协议分析等分析方法对数据进行有效分析。