计算机网络的出现，使得独立的计算机能够相互进行通信，提高了人们的工作效率。然而，人们在享受网络带来的种种方便、快捷服务的同时，也不得不面临来自网络的种种威胁。网络取证正成为保护网络安全的重要方法。而网络取证面临的问题是原始证据信息海量庞杂，误报率、漏报率难以解决，关联性较差。　　 针对这个问题，本文提出了一种基于模式挖掘和聚类分析的攻击事件关联技术。其中采用模式挖掘对海量告警进行分析，过滤和真实攻击行为无关的规则，使用的关联算法是LSH算法，将大量告警过滤掉；采取相似度计算的方法将过滤之后相对独立的告警信息聚成数量有限的攻击事件类，以更好地支持构建攻击场景；提出了主机权限模型来抽象攻击行为，提高了攻击事件的关联性，另外采取基于单调性的主机权限提升算法将攻击事件关联成攻击场景；最后通过基于攻击图的攻击场景补全方法寻找到漏报的攻击事件，将独立的攻击场景关联起来，完成整个攻击场景的构建。　　 然后在此基础上设计了网络取证原型系统，并对各个模块的实现方法给了详细设计说明。网络取证原型系统分为五个模块：信息配置初始化模块，主要是对网络配置和主机配置进行初始化；证据信息收集模块，针对不同类型的证据信息，采取监控调用函数行为，WinPcaq捕获数据包，漏洞扫描工具等多种方式来获取证据信息：证据信息管理模块，对证据信息进行存储，并进行查询的数据库操作，此处的一个创新点是列数数据库设计，可以提高压缩比和提供快速访问；证据信息分析模块，主要采取了第三章中的技术进行关联分析；安全备份模块，采取SSL安全传输将原始取证信息备份到取证机中去，确保电子数据的原始不变性。　　 后面针对主要模块做了相关测试，实验结果达到了预先的期望。