随着网络规模日益扩大,网络结构复杂化,信息安全问题越来越严重。如何保护敏感信息的安全已经成为社会、政治、经济、军事等领域的重要问题。近年来,网络攻击已经逐渐从外部攻击转向内部攻击。内部攻击具有一般性、特异性弱、隐蔽性强等特点,可以轻易绕过防火墙及入侵检测系统的监控,比外网病毒、黑客攻击等外部攻击更难防范,而且造成的损失也更大。防火墙,IDS已经不能满足这些安全需求。安全审计技术的出现极大地弥补了前两者的不足,已经成为网络安全系统中重要的环节。论文归纳了内网用户行为存在的一些特点,总结了异常行为的表现形式,针对用户行为事件相关性展开研究,得出行为事件的两种关联性,即内容关联和时序关联,并针对这两种关联性设计分析方法。论文依据TCSEC、CC及GB17859-1999安全标准,设计并实现了一个基于分布式体系结构的内网行为审计系统,该系统主要由分布式数据采集模块、过滤器模块、数据实时分析模块、报警模块组成。系统采用HOOK机制,从驱动层捕获内网用户的各种操作数据(包括程序运行、文件读写、网页访问等);审计数据通过网络传输到审计中心,分析检测模块采用聚类及时序关联方法对数据进行实时分析,检测异常行为(或攻击行为)数据,并给出报警。本系统在操作系统及具体应用系统(本文采用ERP系统)的访问控制模块中进行了测试,结果表明本系统能有效监控并记录用户各种操作,实时分析模块能有效发现用户违规异常行为及恶意攻击行为。