随着计算机技术的发展,计算机安全事件频繁发生。计算机取证(computer forensics)正是在这种形势下产生和发展的,它可以对犯罪分子产生威慑作用。当前,分布式拒绝服务攻击(DDoS)已经成为信息安全的一个重大威胁,僵尸网络(Botnet)为发动DDoS攻击提供了方便。所以,对基于Botnet的DDoS攻击的取证分析也逐渐成为计算机取证工作中的重要内容。基于IRC协议的僵尸网络是当前最流行的僵尸网络。通过对僵尸网络IRC C2 (Command and Control命令与控制)行为特征的分析,本文提出了一种基于受控端的IRC C2行为识别方法：从普通数据流中分离IRC数据流,并从中抽取IRC行为特征,把抽取的IRC行为特征与匹配模型进行模糊匹配,进而识别出该IRC行为是否为僵尸网络IRC C2行为。当前DDoS攻击的主要方式是基于TCP协议的攻击和基于ICMP协议的攻击。本文针对这两种攻击的典型方法,提出相应的基于源端的DDoS攻击行为识别方法。对于基于TCP协议的攻击,以统计源端主机发往目标地址的SYN包个数与返回的SYN应答包个数的差值来量化目标主机的拥塞程度,以源端主机接收到的SYN应答包个数和源端主机返回给服务器的SYN应答包个数的差值来判断源端主机是否产生恶意攻击,采用非参数的CUSUM算法将连续攻击效果放大以减小检测的误警率。对于基于ICMP协议的攻击,从攻击的原理入手,提出了通过判断有无发生IP数据包伪造行为来确定是否发生了Smurf攻击的方法。实验结果表明,上述两个方法对DDoS攻击行为的检测均有很高的识别率。基于对僵尸网络的分析,本文提出利用选举向量检测黑客对僵尸网络的拆分和转移行为；利用攻击向量检测僵尸网络是否参与DDoS攻击。由于不能发动大规模DDoS攻击,本文开发一个模拟系统对算法进行验证。在本文的最后,分析取证系统的功能需求,设计并实现基于僵尸网络的DDoS攻击的取证原型系统。