近年来,随着互联网的迅速发展,越来越多的局域网开始接入互联网并使用互联网服务。然而,互联网在带给人们方便快捷的服务背后也潜藏着安全隐患。局域网内部人员的网络行为如果得不到监管,如访问非法站点或者滥用网络资源等行为不仅会降低工作效率还会造成局域网安全隐患,因此需要提供一种事后分析和责任追溯的技术解决方案。所以,研究局域网的网络行为审计技术具有非常重要的现实意义。网络安全领域中几种常见的技术解决方案有数据加密、入侵检测系统(IDS)、杀毒工具和防火墙等。但以上这些技术都偏重于互联网层面解决安全问题,在局域网层面稍显不足,不能达到监控和追溯局域网用户网络行为的目的。本文研究了当前主流的网络行为审计技术的原理,并且在此基础上提出了一个基于TCP重组和敏感词匹配的协议解析算法。论文首先从局域网网络结构的特点出发,分析了局域网内数据包捕获的原理、TCP会话流程以及应用层协议格式,对相关算法和技术进行分析并提出方法,然后采用基于序列号和哈希表的重组算法实现了 TCP会话的重组并对网页和邮件进行了协议解析和文本还原,最后采用改进的多字符文本匹配算法匹配敏感词。最终设计出了针对用户网络浏览和收发邮件行为的网络行为审计系统。该系统包括两个软件子系统,其中前端web管理子系统采用SSH框架实现,后端数据处理子系统采用多线程模块化的设计思想保证了系统的运行效率。系统软件在测试环境中运行状态良好,并且已经通过国家权威软件评测单位的认证测试,对同类审计系统具有一定的参考价值。