随着网络速度的不断提高,网络攻击形式中经常会有超过百Gb流量的攻击,面对高速大流量攻击,遭受攻击的受害者往往无法独自应对。我们迫切需要借助法律手段来建立网络自我防御机制,而络取证就是其中最重要的手段之一,然而目前网络动态取证方面还存在很多需要探索和改进的地方。已有的研究表明,大量的网络证据都以数据流的形式存在,这些激增的数据具有海量、实时、易失等特点,给网络动态取证带来了巨大的挑战。因此,如何及时挖掘异常网络数据流,快速分析网络异常数据流,并进一步获得动态网络犯罪的证据,对保障网络信息安全具有重要意义传统静态取证方法很难满足网络在线犯罪的动态取证,伴随黑客技术的普及DDoS这一攻击手段逐渐变成互联网上规模最大、危害最严重、防护最困难的攻击手段,DDoS攻击犯罪过程大部分都是通过网络发起攻击,产生网络堵塞或服务宕机达到目的。本文针对DDoS攻击研究网络动态取证流程,主要贡献有以下三点:(1)将并行频繁项挖掘算法应用到DDoS攻击取证中。大流量网络攻击数据包往往由木马工具控制发起,与正常包相比不存在可交互性,其内容多为较固定的代码片段(文中称指纹),存在较高的重复率。根据网络数据包本身含有的指纹特征,在进行取证分析时本文将频繁项挖掘算法应用到高速网络的攻击行为检测中,能够及时快速的检测到高频率的攻击指纹,从而进行防御和取证。并且根据高速网络中数据流量的大问题提出基于历史数据的基线过滤办法,通过基线过滤来减少频繁项挖掘算法的数据输入,仅将基线外的异常数据流量输入取证分析服务器,降低了数据流量清洗的难度。(2)提出了基于负载均衡和冗余剪枝的频繁项挖掘算法。改进原有的并行频繁项挖掘算法,通过快速剪枝,以降低递归挖掘时算法的时间和空间复杂度。并且引入负载均衡优化策略,在管理节点分配任务前预先估计分布式子节点的挖掘任务,来尽量平分负载,避免某个子节点过载的情况,提高了算法的挖掘效率和稳定性,在时间和内存上具有更低的资源消耗,进一步降低了取证分析的响应时间。(3)最后,根据以上两点改进,设计了基于并行频繁项挖掘算法的DDoS攻击检测系统。通过系统分析,快速发现攻击源头和攻击特征,过滤掉带有攻击特征的数据包,保证网络的正常运行,并且将攻击数据包存储到证据库中。在成功防御DDoS攻击的同时,完成网络动态证据的获取。