本论文主要研究有效的安全审计系统的设计与实现。随着信息技术和互联网的飞速发展，系统和网络安全问题也日益突出。现在的系统越来越复杂，系统中总存在这各种各样的漏洞，以及一些人为的因素，这都有可能被黑客利用。审计机制作为操作系统安全措施的重要组成部分，起着至关重要的作用。一个安全操作系统的审计系统就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。这其中，检测入侵事件需要对审计数据进行分析，因此审计分析作为入侵检测的主要手段，成为审计研究领域的主要部分。目前，大多自动入侵检测工具只能根据审计数据抽象出可能发生的问题，提供给系统安全员，却没有提供帮助系统安全员方便、高效地浏览和分析原始审计踪迹的方法。本文首先分析了安全审计的四个研究领域，即审计内容、审计分析、审计缩减和审计防窜改，其中审计分析是目前研究的热点。然后，详细介绍了Linux四级安全操作系统中审计系统的设计和实现。该审计系统在三级安全操作系统的基础上，增加了处理审计记录已满的措施和用审计分析方法对审计日志进行分析的机制，实现了《计算机信息系统安全等级保护操作系统技术要求》中第四级的要求。接着，提出了一个用于有效浏览原始审计数据的方法。该方法以对象的概念为中心。首先把审计踪迹中概念上的一个实体，比如文件、用户或进程，作为一个“对象”，扫描感兴趣的审计记录，然后构建一个框架图，根据对象是如何互相作用的来把它们用一个有向图联系起来，顶点和边分别表示对象和活动。这样，系统安全员就可以通过这个有向图快速的查看事件的细节。利用这种方法，设计了一个是Linux下的模型，并进行实现。接着就如何在把这个模型扩展到更一般操作系统上做了一些探讨。