| 摘要 | 第5-6页 |
| Abstract | 第6-7页 |
| 第1章 绪论 | 第11-17页 |
| 1.1 研究背景 | 第11-13页 |
| 1.1.1 计算机犯罪 | 第11-12页 |
| 1.1.2 计算机取证的提出 | 第12页 |
| 1.1.3 日志在计算机取证中的意义 | 第12-13页 |
| 1.2 计算机取证现状及存在的问题 | 第13-15页 |
| 1.2.1 国外现状 | 第13页 |
| 1.2.2 国内现状 | 第13-14页 |
| 1.2.3 存在的问题 | 第14-15页 |
| 1.3 本文工作 | 第15-17页 |
| 1.3.1 本文研究内容 | 第15页 |
| 1.3.2 本文组织结构 | 第15-17页 |
| 第2章 计算机取证介绍 | 第17-31页 |
| 2.1 计算机取证的相关概念 | 第17-20页 |
| 2.1.1 计算机取证的定义 | 第17页 |
| 2.1.2 电子证据 | 第17-20页 |
| 2.2 计算机取证的原则和步骤 | 第20-23页 |
| 2.2.1 计算机取证的原则 | 第20-21页 |
| 2.2.2 计算机取证的步骤 | 第21-23页 |
| 2.3 计算机取证技术介绍 | 第23-29页 |
| 2.3.1 计算机静态取证技术 | 第23-24页 |
| 2.3.2 计算机动态取证技术 | 第24-29页 |
| 2.3.3 计算机反取证技术 | 第29页 |
| 2.4 本章小结 | 第29-31页 |
| 第3章 Windows主机日志处理方法研究 | 第31-49页 |
| 3.1 Windows主机日志文件 | 第31-36页 |
| 3.1.1 日志文件介绍 | 第31-34页 |
| 3.1.2 日志文件的作用 | 第34-35页 |
| 3.1.3 日志文件处理面临的挑战 | 第35-36页 |
| 3.2 Windows日志文件的正确性监测及修复方法研究 | 第36-40页 |
| 3.2.1 日志文件正确性监测与修复的必要性 | 第36-37页 |
| 3.2.2 日志修复方法 | 第37-39页 |
| 3.2.3 日志文件修复方法实例 | 第39-40页 |
| 3.3 Windows日志文件的获取与监控方法研究 | 第40-44页 |
| 3.3.1 Eventlog文件的获取与监控 | 第41-43页 |
| 3.3.2 文本日志的获取与监控 | 第43-44页 |
| 3.4 Windows日志格式化与存储 | 第44-48页 |
| 3.5 本章小结 | 第48-49页 |
| 第4章 基于日志分析与重构的取证技术研究 | 第49-69页 |
| 4.1 基于EventID分类模型的冗余数据清理技术 | 第49-52页 |
| 4.2 基于FP_Growth的日志分析算法研究 | 第52-64页 |
| 4.2.1 FP_Growth算法介绍 | 第52-53页 |
| 4.2.2 基于FP_Growth的日志分析算法PFP_Growth | 第53-61页 |
| 4.2.3 基于模拟攻击的格式化规则匹配方法 | 第61-64页 |
| 4.3 基于规则库与属性跟踪的场景重构方法 | 第64-67页 |
| 4.3.1 DDOS入侵介绍 | 第64-65页 |
| 4.3.2 基于规则库与属性跟踪的场景重构方法 | 第65-67页 |
| 4.4 本章小结 | 第67-69页 |
| 第5章 实验结果与分析 | 第69-81页 |
| 5.1 实验环境 | 第69页 |
| 5.2 实验过程及结果分析 | 第69-80页 |
| 5.2.1 日志文件的正确性监测及修复 | 第69页 |
| 5.2.2 日志记录的实时获取与格式化存储 | 第69-71页 |
| 5.2.3 日志分析挖掘过程 | 第71-76页 |
| 5.2.4 场景重构过程 | 第76页 |
| 5.2.5 实验结果分析 | 第76-80页 |
| 5.3 本章小结 | 第80-81页 |
| 第6章 结论 | 第81-83页 |
| 6.1 本文工作 | 第81页 |
| 6.2 不足之处 | 第81-82页 |
| 6.3 未来工作 | 第82-83页 |
| 参考文献 | 第83-87页 |
| 致谢 | 第87-89页 |
| 攻读硕士期间参加的项目 | 第89页 |
