随着危害通信网络与信息安全的犯罪活动日趋增多,计算机取证逐渐成为人们关注与研究的焦点。计算机取证,主要研究如何为调查计算机犯罪提供彻底、有效和安全的技术、程序及方法,其关键在于确保证据的真实性、可靠性、完整性和合法性。本文研究了计算机取证中侦查主体及相关对象在多种方式下针对不同目的的需求,提出了一种基于主动获取的动态取证、蜜网取证和远程取证相结合的计算机取证框架,通过将计算机取证技术与防火墙、入侵检测系统相结合实现动态取证,对可能的计算机犯罪行为进行实时数据获取和分析,并做出及时的响应,在保证系统安全的情况下获取最大量的证据。蜜网取证系统构成了一个黑客诱捕网络体系架构,可以学习黑客执行的攻击过程,获得大量的有用信息,从而对新攻击发出预警,延缓攻击和转移攻击目标,并实施模拟回应和触发警告进行响应。远程取证可以远程获取犯罪嫌疑人主机上的电子证据,在犯罪实施前获得其犯罪证据,同时根据攻击主机上的相关信息获取常与犯罪嫌疑人联系的人员及主机列表,判断此攻击行为是个人作案或团伙作案,从而达到侦破的目的。本文提出了基于主动获取的计算机取证模型(A2CFM),扩大了计算机取证源的范围并定义了取证源的不同层次,将取证范围延伸至攻击的前、中、后全过程。提出了安全审计辅助管理系统(UPAM),丰富了取证信息源。并通过对取证源分层过滤,加大了取证分析的力度。本文设计并实现了基于主动获取的远程取证系统(A2RFS),系统模拟了两种网络环境,可以对特定情况下的并不连通网络的计算机进行取证。在进行远程取证时自定义驱动程序在核心层的不同层次进行穿越,不仅能成功穿越当前主流的防火墙,而且对基于IMD技术进行网络监控的防火墙也有较好的穿越能力。本文还提出了一种通过关系图建立攻击群模型的方法,在时间特征及因果关系的约束条件下,判断攻击序列,重构复合攻击行为的攻击过程,在无须考虑攻击群中个体的响应成本与损失成本的比例的情况下,及时对攻击行为做出响应,从而达到最大程度地减少响应成本的目的。另外,本文还提出了一种多层次压缩决策树算法,克服了C4.5算法在构造树过程中对数据多次扫描和排序的缺点,从树的规模和分类精度上进行了优化,使决策效率明显提高。利用决策的分类来建立多层次决策树,不但可以加快决策树的生长,而且可以得到结构好的决策树,便于从中挖掘好的规则信息。