随着信息技术的发展与Internet应用的普及，在当前网络攻击、入侵等活动不断增多的情况下，信息系统安全，尤其是计算机网络安全的重要性变得日益突出，加强网络安全方面的研究与实践就显得更加重要。监控、审计与取证技术是保障信息系统安全、可靠运行的重要手段。本文围绕网络安全监控与审计系统的设计与实现，研究了数据包的采集与重组技术及Linux下伯克利包过滤(BPF)机制，分析了监听方式与网关方式下两种数据采集方案的特点与重组原理。把网络监控系统的设计分解为与协议无关的网络探测器及与协议相关的HTTP数据还原模块两部分，并把网络探测器的设计分为与数据中心的通信模块，解析配置文件，记录探测器日志，采集网络数据包，缓冲采集到的数据包，重组TCP会话这几个模块。研究了HTTP数据还原技术，包括对HTTP内容的解压缩及传输编码的块解码。在还原HTTP数据后对设置的关键字进行过滤并把中标的数据传回数据中心进行保存以便日后取证。重点研究了HTTP数据过滤技术，针对基于模式匹配的过滤技术在关键字较多时需要回溯多次造成过滤速度慢的缺点，采用以文本反向匹配关键字的过滤技术，分别以哈希表及trie树结构存储关键字，以HTTP数据中的文本反向匹配存储在哈希表或trie树中关键字的过滤技术，文本不再需要回溯，提高了匹配速度。本文设计实现的网络监控系统，能对敏感HTTP内容的访问进行实时报警。对严重影响系统性能的关键字过滤技术，采用以trie树存储关键字，以数据包中的文本反向匹配关键字的过滤技术大大提高了匹配速度。