21世纪是互联网繁荣和盛行的时代,也是信息资源共享和快速传播的时代。首先,互联网作为时代主角,为生活和工作提供了许多便利。然而,危害信息安全的事件也频频发生,带给人们难以估量的危害和损失。因此,我们不仅要保障信息安全,还需将利用法律手段来惩治计算机犯罪行为,网络取证应运而生。网络取证是采用动态防御的方式对于计算机犯罪行为进行收集、分析证据以发现网络犯罪行为的活动。络犯罪行为的活动。近几年来,信息失窃和文件泄密等事件危及到个人和企业的财产安全。因此,识别网络窃取行为,防止网络窃取事件的发生迫在眉睫。针对以上情况,对于窃取行为的识别和网络取证进行深入研究,并提出了通过分析网络数据包获取及时、关键、有效的电子证据,遏制窃取行为发生,同时获取、保存有效证据,以供法律诉讼。本文提出了基于网络协议分析和窃取行为识别的网络取证的研究,主要的工作内容有以下几方面:1)介绍网络取证的背景、发展和现状,通过对比其与传统的计算机取证的区别,突出网络取证的重要性;简述电子证据的特征,并提出其分析和处理方法。2)介绍比较流行的网络取证的相关技术,分析其优缺点,总结得到网络取证的处理方法和思路;针对网络异常行为,提出其判别方法,引入数据挖掘,作为窃取行为判别的关键技术。3)收集和捕获网络数据包,依据协议的规则性解析数据包,得到其MAC地址、IP地址、协议类型、端口号、时间、包长度、数据流向等信息,作为分析、判断窃取行为发生的关键因素。4)根据网络数据包的聚类分析结果判别文件窃取行为是否发生。网络数据包的信息量巨大,从中分析网络异常行为,采取了数据挖掘的分析方法,针对网络数据包进行聚类分析,区分用户正常操作文件和网络窃取行为。5)取证系统响应,发现网络窃取行为时,及时阻断和取证,动态防御的同时,动态获取关键证据,并保存电子证据。