在众多的信息安全技术中，入侵检测系统的发展引人注目。由于目前入侵检测技术的限制，检测系统报警误报率和漏报率都较高。报警数量多，粒度太细，各个报警之间没有联系，因此无法对入侵者的入侵行为形成全局映像。为了弥补入侵检测系统的这些缺点，人们提出了攻击场景重构的方法，将入侵检测系统的报警消息综合分析，从不同的方面反映入侵的特点和步骤，从而提高对安全事件判断和处理的准确率。攻击场景是指入侵者为达到入侵目的所采取的一系列攻击步骤。攻击步骤之间存在着紧密的联系。准确地重构出攻击场景有利于分析入侵者的入侵行为模式，评价系统安全状态和预测将要发生的攻击行为。然而，目前的攻击场景重构方法仅仅基于入侵检测系统的报警消息进行重构，入侵检测系统的漏报和误报严重影响了攻击场景的准确重构。本文针对现有攻击场景重构方法的不足，提出了一种新的攻击场景重构模型，以减小入侵检测系统的漏报和误报对攻击场景重构造成的影响。基于这个模型的总体结构，实现了一个分布式取证与文件完整性保护系统FFPS。本文的主要工作包括： 1)对入侵检测、攻击场景重构模型的研究现状进行了介绍和分类。分析了现有入侵检测系统和攻击场景重构模型的原理和缺点，指出了入侵检测的误报和漏报会严重影响攻击场景重构的准确度。同时也指出了实时取证和时间同步对于攻击场景重构的重要性。 2)提出了一种新的攻击场景重构模型。该模型基于报警的前提和后果进行场景重构。为了减小误报和漏报对攻击场景重构的影响，该模型提出了日志事件和证据支持度的概念，将多日志关联融合到攻击场景重构的过程中。首先，根据入侵报警的前提和后果生成相应的攻击场景图；然后，根据入侵报警所对应的日志事件计算特定入侵报警步骤所对应的证据支持度，消去攻击场景中的误报；最后，猜测不同攻击场景之间的可能漏报，将由于漏报而分裂的攻击场景合并为一个攻击场景。 3)根据提出的攻击场景重构模型，给出了消去攻击场景中误报、猜测两个攻击场景之间的漏报、合并由于漏报而分裂的攻击场景的算法。 4)设计和实现了一个分布式取证与文件完整性保护系统FFPS。该系统能够有效地为多台主机进行实时取证和文件保护。取证部分将主机的所有日志(系统、应用程序和入侵检测系统)发往取证机进行保存，取证部分还提供了日志的统计和查询，以及跨日志的查询。文件保护部分采用了一种形式化的策略语言描述保护策略，根据保护策略对文件进行保护和恢复。 5)为了保证正确的攻击场景重构，提出了两种时间同步方案，并且分析了各自的优缺点。