伴随着计算机的出现和使用,出现了一种新的犯罪形式,这就是计算机犯罪。这种新型的犯罪活动正日益猖獗,给国家的发展和稳定带来了严重的危害,打击和防范计算机犯罪已经成为各国司法部门亟待解决的一大难题。计算机取证技术正是在这种应用背景下发展起来的,它的目标是对计算机及其相关的设备中发生的犯罪行为进行取证,获取入侵事件的电子证据,为打击犯罪分子提供证据。 近年来,计算机取证技术正在成为人们关注和研究的热点,已经发展了一批成熟的计算机取证技术和取证工具。但是传统取证技术局限于事后的静态取证,由于反取证技术的发展,事后取证技术很难保证证据的真实性、有效性和及时性；现在有些动态的取证模型是和入侵检测系统结合起来,试图在发现入侵的时候,把一些能反映入侵行为的文件保存起来,由于入侵检测系统存在一些缺点,也导致这种模型不能真正地保证电子证据的完整性。 本论文提出了一种基于局域网主机日志的取证模型,可以克服以上缺点。日志文件记录了系统指定对象操作及其操作结果,它能够反映用户的行为,可以作为电子证据。本模型采用基于代理的分布式结构,通过在被取证计算机上的代理软件,实时地提取被取证机上产生的日志记录,通过多种加密技术,对日志记录进行加密,生成日志的数字签名以及能证明同志记录相互关联关系的消息摘要,通过建立安全通道传输到安全的取证服务器上保存,并能通过验证算法证明日志的原始性和真实性,从而保证了日志证据的安全性和抗否认性。并设计了在取证机服务器上依据关键字进行查询的功能。 本模型的特点： 1)实时的将日志记录进行转存到安全服务器上,能够有效地避免入侵者删除日志文件,破坏犯罪证据。 2)针对局域网主机的日志文件,这些日志文件不仅能记录外网入侵者的行为,也能够记录本地用户使用计算机的行为,能够为局域网破坏活动提供有效的证据。