近年来,APT攻击对政府、企业等大型机构的威胁不断增强。在检测到攻击后,需要通过取证分析来判定操作系统日志事件间的依赖关系,快速定位入侵点,并确定攻击造成的影响。但在实际场景中,大型机构往往需要存储PB级别的数据以满足取证分析的需求,这不仅带来了巨大的存储开销,还急剧增加了取证分析的运算和时间成本。因此,如何在不影响取证分析结果准确性的前提下,进行日志数据的压缩,是亟待研究的重要课题。目前,相关工作提出的解决方案仅适用于离线存储数据或特定类型事件,无法兼顾实时性、普适性等需求,实用性差。为解决上述问题,本文进行以下研究:1)设计了两种实时日志压缩算法:保持全局依赖算法和仅保留攻击语义算法。前者判定并删除不影响全局依赖关系的冗余事件,后者基于绝大多数取证分析的目标是还原攻击链路这一事实,对前者压缩后剩余的事件进行上下文分析,删除攻击无关事件。两种算法均在日志层面实现,不涉及程序内部分析,可处理文件、网络等多类事件,也不依赖于具体的操作系统类型,应用场景广泛。2)基于两种日志压缩算法在Windows平台上实现了一套原型压缩系统,以验证算法的正确性、通用性与高效性。系统由多类型事件实时采集,数据压缩和数据库存储三部分构成。3)测试日志压缩系统。实验结果显示,在不影响取证分析结果的前提下,系统对事件数量的压缩比高达12.4至25.9;实时运行时,CPU负载为单核心5%,具备较好的压缩效果与极低的运算开销。本文率先提出了具备高压缩比、低负载特性,并对多类型事件通用的实时流式日志压缩算法,相比于此前的研究工作,更能胜任大规模集群环境下的数据处理工作。