Internet无法真正约束人们的上网的行为,在互联网上发布、传播有害信息的问题日渐突出,利用互联网实施的违法犯罪活动也逐渐增多。要控制关键的80%的安全漏洞,关键在于解答四个根本问题:1)发生了什么?2)发生的具体时间?3)谁在搞破坏?4)我们应采取什么措施?针对系统的不完全的安全性,需要有一种技术手段进行弥补,网络信息系统日志分析与安全审计技术就是这样一种技术。对信息系统日志的分析和审计就是对操作系统、系统应用或用户活动所产生的一系列的计算机安全事件进行记录和分析的过程。本文通过讨论日志分析与审计技术在国内外的研究现状,概括了日志分析的重要性和必要性。本文以此为目的,首先描述了日志分析与审计的数据准备过程,包括日志数据的捕获,几种日志格式——syslog格式、Traffic Log格式和WELF格式的详细分析和日志数据的预处理过程。文章重点介绍了四种用于日志分析与审计的算法及应用:基于正则表达式的模式匹配算法用于对日志数据进行初步的解析;基于数据挖掘的关联分析主要运用Apriori算法对日志数据进行关联模式的挖掘;聚类分析算法则采用RIPPER算法对用户行为进行分类; Teiresias算法起初用于生物研究领域,本文将这种算法用于日志分析中用户行为频繁模式的挖掘,并获得很好的效果。文中对每种算法进行了详细的描述,包括算法的概念、功能、具体实现和改进方法。最后,文章提出基于日志分析的网络安全审计系统的设计模型,系统允许网络管理员制定安全策略,通过对日志数据的分析和审计对网络内用户的行为进行实时监视或事后分析,并详细介绍了系统中各模块的组成、功能和实现。本文提出的日志分析和安全审计的技术,适用于对大多数网络设备的日志格式的审计,具有一定的可行性和可扩展性,具有广泛的应用前景,基于日志分析的安全审计系统模型也为网络信息系统的安全监管提供了一种通用的解决方案。