1、計(jì)算機(jī)技術(shù)的飛速發(fā)展促進(jìn)了社會(huì)的進(jìn)步，帶動(dòng)了經(jīng)濟(jì)的發(fā)展，也改變了人們的生活和工作方式。然而，計(jì)算機(jī)技術(shù)為人們提供便利的同時(shí)，也為網(wǎng)絡(luò)犯罪提供了新的犯罪空間和手段。所以，我們需要充分發(fā)揮技術(shù)的作用和法律的威力來(lái)遏制計(jì)算機(jī)犯罪。日志文件記錄了操作系統(tǒng)和應(yīng)用程序以及用戶(hù)的操作過(guò)程，同時(shí)也保存了入侵者的痕跡，因此成為計(jì)算機(jī)取證中重要的證據(jù)來(lái)源。如何從大量的易被破壞的日志記錄中找出存在的關(guān)聯(lián)，并進(jìn)一步重構(gòu)出入侵場(chǎng)景，是本文研究的主要內(nèi)容。

2、　　首先，針對(duì)日志記錄數(shù)據(jù)量龐大且不同類(lèi)型的日志包含的屬性不同導(dǎo)致的挖掘困難，本文提出了基于EventID分類(lèi)模型的冗余數(shù)據(jù)清理技術(shù)，并針對(duì)不同的日志類(lèi)型設(shè)計(jì)不同的格式化標(biāo)準(zhǔn)。通過(guò)EventID分類(lèi)模型和格式化處理，能夠有效降低分析的數(shù)據(jù)量。
　　其次，由于頻繁模式挖掘過(guò)程中日志記錄包含屬性取值范圍過(guò)大，致使FP_Tree的空間復(fù)雜度過(guò)高，極大地降低了處理效率;并且不同的屬性有相同的屬性值，導(dǎo)致產(chǎn)生的關(guān)聯(lián)規(guī)則無(wú)法判斷屬性值的確切含

3、義。針對(duì)以上問(wèn)題，本文提出了一個(gè)基于FP_ Growth的日志挖掘算法PFP_Growth。本文算法在建立頻繁模式樹(shù)之前首先對(duì)屬性進(jìn)行預(yù)處理，然后采用面向需求的約束屬性組技術(shù)建立頻繁模式樹(shù)。
　　然后，針對(duì)如何從大量的關(guān)聯(lián)規(guī)則中篩選出與入侵相關(guān)的規(guī)則進(jìn)行場(chǎng)景重構(gòu)的問(wèn)題，本文提出了一種基于模擬攻擊的格式化規(guī)則匹配方法。先通過(guò)模擬攻擊產(chǎn)生與入侵相關(guān)的格式化規(guī)則，再通過(guò)匹配屬性前綴與格式化規(guī)則來(lái)實(shí)現(xiàn)規(guī)則匹配。
　　最后，本文提出了