随着互联网规模越来越大,结构更加复杂,利用计算机技术犯罪的数量也在以惊人的速度增长。为了应对越来越多的计算机犯罪,计算机和网络取证应运而生。网络取证过程中会获得潜在的网络上的犯罪行为的证据。其主要通过实时监控、捕捉或搜索网络数据流、网络设备和主机的日志信息,分析并找到有效的网络入侵活动的合法证据和入侵所照成的损失,以此支持对网络刑事犯罪的指控。网络取证的问题是一个交叉着各种复杂技术的问题,而且它可以作为一个重要武器来保护网络信息安全。然而随着网络的迅速发展,网络数据的传播速度有所提高,并不是所有的流量捕获和分析都是有价值并值得调查。本文在分析现有网络取证方法的基础上,提出一种利用网络漏洞和网络证据图相结合的网络取证方法。在本文中,利用漏洞的证据和推理算法重构攻击场景,然后回溯网络数据包发现原有的证据。本文的方法可以有效地重建攻击场景,然后通过证据推理识别多级攻击。实验结果表明,使用本文的方法构建的证据图是更完整和可靠的,同时具有推理能力。针对目前网络取证所采用的技术,一些由于数据处理性能低导致数据丢失;一些由于需要过多的存储空间,无法保存完整的证据链;一些由于没有高效的数据存储格式,不能够存放各式各样网络数据格式;一些由于没有有效存储数据的存储方式,导致证据检索过程过慢。面对大量的、动态的网络数据,如何获取、分析和存储数据是网络取证过程中必须解决的关键问题。针对以上几大关键技术问题进行研究,研究内容如下:(1)提出采用数字签名与时间戳技术对原始数据信息加以数据保全,从而保证证据的原始性与连续性,使用“事件向量”统一异构数据源格式,再次将网络数据精简处理,且便于后期利用“事件向量”这一特殊数据格式有效生成证据向量。(2)提出使用机器学习算法采用41种特征准确地分类网络数据包,过滤出良性数据包和可疑数据包,通过使用小部分的训练样本,使其成为一个有效的工具来执行网络数据包分类,使数据信息数量精简。(3)提出漏洞关联分析与漏洞证据推理算法(VERA)推理出最终的攻击主机与攻击路径。其中漏洞关联分析是对开放式网络中每个主机进行漏洞扫描并给与漏洞评分,漏洞推理算法则是基于证据图并结合网络主机的漏洞分数对网络攻击进行推理,进而推理攻击主机与攻击路径,将其作为证据图呈现给法院。(4)最后本文结合以上方法,提出一种网络取证框架,并基于该框架做实验验证该框架的可行性。对本文提出的网络取证方法通过实验与原型系统测试的结果表明,提出的网络取证方法能够有效地重建攻击场景,并通过证据推理识别多级攻击。通过证据图形象生动的展示入侵路线。