随着Web IM(网页即时通信)工具在军网中的应用,对军网Web IM用户行为和通信内容的审计需求也应运而生。本文设计并实现一个审计系统,以满足对军用Web IM工具的审计需求。本文首先对网络信息安全审计和Web IM的发展状况进行了综述。然后对Linux系统的内核加载功能、基于Linux的netfilter架构和路由netfilter架构进行了论述。在此基础上,对军网Web IM工具审计系统进行了设计。系统主要由审计驱动、应用层审计、数据存储、审计管理4个模块组成。审计驱动模块工作在内核层,主要完成对Web IM数据包的捕获和识别,并通过与应用层的通信技术,将需要进行审计的数据包送到应用层审计模块。应用层审计模块接到数据包后,根据特定的Web IM类型和http数据类型进行多模式匹配,获取当前数据包的行为和内容信息。应用层审计模块将获取到的信息进行格式化后提交给数据存储模块进行数据记录。网络管理员可以根据数据存储模块提供的接口查询其中的数据。对审计驱动模块和应用层审计模块的设计是本文的重点。审计驱动模块运用BM算法解决数据包识别时的模式匹配问题,运用Linux内核的连接跟踪机制解决数据包的标记问题,运用netlink机制解决内核层与应用层的通信问题。应用层审计模块以web qq典型的通信过程为例,通过wireshark抓包分析,研究总结出不同Web IM工具与服务器通信的一般规律,并将该规律以配置文件的形式存放。然后描述应用层审计模块如何根据该配置文件的内容实现数据的识别和分类存储。最后将系统在军网环境下进行了实现与测试。实验证明,通过军用Web IM工具审计系统,可以完成对Web IM用户的相关行为和通信内容的审计。