本文以作者参与的北京市科委攻关课题“信息安全综合审计的日志采集与取证分析技术、网络审计与取证技术的研究与开发”子课题的研究工作为基础,提出了一套信息安全综合审计取证系统。对系统的日志格式统一表示与接口部分进行了重点研究与实现,并深入研究了系统中日志分析与取证模块。日志格式统一表示与系统接口:日志采集模块分两部分完成,利用ODBC技术对数据库日志进行收集,对其他操作系统、安全产品等的日志收集通过SOAP协议完成,并进行日志信息预处理。在日志格式的统一表示方面,根据行业标准制定了基于XML的日志格式规范,并利用MSXML实现对XML文档的解析,将各种审计源的日志进行相应的统一转化。采用Web Services技术对综合审计取证系统的接口进行描述,用户可以通过SOAP与Http协议相结合进行请求和响应,以实现系统网络共享。日志分析与取证:建立日志分析模型,将基于特征库的实时检测与基于行为的离线分析相结合以降低漏报率与误报率,并在离线部分采用日志交集的分析方法以提高日志分析效率。采用Wu-Manber算法并结合Xpath技术实现日志的快速查询。在系统的知识表示方面提出了基于Ontology的知识表示,对系统的结构和内部关系进行清晰的描述。取证模块的设计中采用PICAP取证模型,采用聚类方法对证据分析进行深入的研究。