随着全球信息化的推进,网络在包括政治、经济、军事、文化等在内的各个领域的应用逐渐扩大和深入,网络安全问题面临严峻的挑战。人们从各种角度考虑来研究包括防火墙、病毒查杀、入侵检测、网络隔离、安全审计等在内的各种技术以增强网络的安全性。网络行为审计技术用于检测网络中的异常流量和活动并及时报警,在内网安全中发挥着重要作用。协议行为审计技术作为网络行为审计技术的一个重要组成部分,以内网安全审计为出发点,从网络协议本身入手,在线深度解析网络数据包内容,分析出应用层协议行为,最终达到审计用户活动的目的。由于当前应用层协议层出不穷,针对协议行为审计的灵活扩展需求,本文提出基于正则表达式的协议行为审计关键技术,包括可扩展协议行为审计基本流程、基于正则表达式的协议行为解析和新协议的扩展机制。基于正则表达式的应用层协议行为解析是协议行为审计的核心,首先采用正则表达式描述应用层协议,建立协议描述库,然后通过对应用层协议的行为特点的深入研究,分解协议交互过程,利用正则匹配引擎解析协议内容,完成协议行为解析。新协议的灵活扩展则通过对基于正则表达式的应用层协议解析过程进行模块化设计,并提供协议描述库的扩充机制来实现。根据内部网络安全的审计需求,基于提出的关键技术,本文选择了用于web浏览的HTTP协议、用于网络文件和资源共享的SMB协议和用于Oracle数据库远程访问的TNS协议作为实现协议行为审计系统的审计对象。通过对HTTP、SMB、Oracle三种协议的协议行为特点分析研究,设计并实现了支持这三种协议的协议行为审计系统。该系统经过严格的综合测试,测试结果表明完全满足设计要求,基本具备实际应用的条件,同时也验证了基于正则表达式的协议行为审计关键技术的可行性。