网络取证是一系列采用动态防御的方法抓取、自动记录并分析计算机犯罪证据以发现网络犯罪的活动,其主要通过实时监控和分析网络数据流、审计线索、主机系统日志等,对电子证据进行检测、整理、收集与分析,以达到监测并防止网络入侵的目的。入侵取证是一种将入侵检测和网络取证相结合的技术。由于目前的IPv4地址即将耗尽,IPv4向IPv6的过渡已成为唯一的途径,基于IPv6的应用将对网络取证技术产生重大影响。IPv6环境下基于入侵检测的网络取证研究主要研究工作包括:1、研究网络入侵取证的关键技术及方法。通过分析、研究、对比各种不同的网络取证方法,采用不同的指标体系来验证,对纯IPv6网络中网络数据流进行采集和维度划分。采用wireshark获取数据包,并利用协议分析技术分析数据包,使用信息熵的计算方式量化数据并提取特征参数降低维度。通过选取多维度因素,引进向量的概念,使用欧几里距离计算数据点间的距离改进chameleon算法,以克服算法本身制约数据点距离因素较少、一旦合并不能撤销等缺陷,使得聚类分析算法能更好地用于分析数据流的特征,从而有效地判断网络中是否发生入侵行为。2、基于入侵检测的网络取证模型的构建。本文通过对比分析了几种取证模型的优缺点,确定了基于协议分析的网络取证方法,并结合已有的实验环境和数据集构建出了适用于IPv6环境下的网络取证模型。利用协议分析技术和聚类算法从参数提取和聚类的过程中找出适合分析是否发生网络入侵的方式,并利用这种方式对网络数据包进行协议分析、量化、参数提取、聚类分析,能很好地克服不同参数取值类别与范围不同、算法在实时分析数据的缺陷等问题。最后,从理论上证明了模型的正确性。3、在理论分析的基础上,使用Linux平台搭建hadoop并行计算平台进行数据预处理、数据量化与特征参数提取,通过Windows平台搭建clementine12.0数据分析软件,来进行模型构建和数据挖掘,从实验中证明了本文所提方法在入侵检测中表现良好,并可以有效获取及时、关键、有效的电子证据,保存有效证据,以供法律诉讼。