随着网络技术和网络应用的发展，Internet的正常运转受到多种威胁。现有的网络安全防护技术和产品不能完全保证网络安全和信息安全。因此，安全审计作为一种事后技术，成为网络安全的最后一道防线。 安全审计通过记录日志并对其进行分析，检测违规和入侵行为，评估系统的安全态势，衡量安全策略配置的合适性，为策略调整修正提供依据，并提供取证手段，对网络犯罪行为起到一定震慑作用。安全审计是网络安全保障体系中非常重要的组成部分。 但是，长期以来，安全审计进展缓慢。大多数安全审计系统仅仅针对特定的应用和操作系统，少数的分布式安全审计系统的有效性也是差强人意。在功能上也往往局限于入侵检测，与实现全面安全审计的目标相去甚远。安全审计所处理的日志数据是巨量的，含有噪声，并且是不一致的。从这样的原始日志中发现有用的知识仅仅靠人工或者简单的分析方法是不可能实现的。数据挖掘技术以其处理巨量杂乱数据的强大能力受到了研究者的关注。 本文对安全审计进行了全面的探讨和研究，结合数据挖掘技术，构建了一个分布式安全审计系统，使用数据挖掘算法实现了策略自动修正功能，并通过在内网信息监控系统中的实验验证了策略自动修正算法的有效性和实用性。本文的主要工作如下： 总结了安全审计的现状。归纳了安全审计的目标和一般步骤，并详细分析了安全审计的关键问题：日志标准化、日志分析技术和审计可视化以及针对这些问题的现行解决方法。介绍数据挖掘技术基本概念，并总结安全审计领域常用的数据挖掘算法。 构建了一个分布式安全审计系统DMDSAS，将主机审计和网络审计结合起来，对不同来源日志进行格式规范化和统一分析，实现入侵检测、策略自动修正的目标。设计了一种日志标准化格式XMLLF，从形式和内容两方面对多源日志进行规范化，为分布式安全审计系统的可移植性创造了条件。着重介绍了系统的策略自动修正部分，并对其中用到的数据挖掘算法进行了详细描述。 在内网信息监控系统中对DMDSAS的策略自动修正算法进行了实验测试，并对实验结果进行分析。通过对内网信息监控系统的日志进行分析，自动调整审计策略。实验证明，DMDSAS的策略自动修正算法有效地实现了策略的评估和自动修正，更接近了安全审计的全面目标。