随着科技的发展,计算机已经深入到我们工作、学习和生活中。网络给我们带来便利的同时,也产生了各式各样的安全问题。为了加强员工在工作中的行为规范,保证公司的核心资料不被泄漏,现从安全的角度考虑,以Hadoop技术作为数据存储和处理的技术框架,对用户日志进行采集和行为审计,从而分析用户行为是否存在安全隐患,及时作出响应。审计的用户行为主要包括:登录行为、帐号管理、密码修改、权限管理、系统操作行为、网络应用程序、文件传送、邮件和文件传输协议。论文从四个方面对用户的行为进行分析和研究:1)审计规则生成模型设计:规则分为规则头和规则选项,并定义了各自的语法。采用Apriori算法挖掘出强关联规则和管理员定义两种方式完善规则库。针对Apriori算法存在的缺点,采用在生成频繁项集的无用的交易记录添加标记的方法进行优化,提高关联规则挖掘效率。2)日志的采集:本文实现多点分布式数据的采集,将主机数据源和网络数据源有机的结合起来。使用Flume和Kafka开源软件。Flume可定制各类数据发送方,用于收集数据。Kafka实现对数据的缓存,利用主题和分区实现数据的分类和负载均衡。3)设计实现审计系统:基于优化的Apriori算法,挖掘出用户的强关联规则,生成规则库。对采集的基于日志的用户行为,采用特征匹配、频率分析、关联分析和关键字分析等方法进行行为审计,对存在异常的行为通过邮件的方式将审计结果发送给安全管理员,管理员根据审计结果的反馈,及时作出决策支持。4)对优化的算法和审计系统进行实验测试:通过改变支持度和日志审计量两种方式对算法审计的效率进行测试,并通过预置异常测试审计的准确率,并对审计出的结果进行了有效的分析,得出了改进的算法的可行性和系统的稳定性。