随着Internet的不断发展,网络和国家、社会、企业以及个人的关系越来越密切。网络在给人们带来便利、快捷的同时,也带来了危害。反动的言论,不健康的内容在网络上的传播日趋猖獗,企业机密、个人隐私被通过网络肆意窃取、传播。网络安全日益引起人们的重视,随之出现了许多维护网络安全的产品。防火墙技术、入侵检测系统(IDS)在各行各业都得到了广泛的应用。但是近年来危害网络安全的有害信息不再像以前那样明目张胆地从某一个地址发出,而往往是包装成合法的报文,或者加载到合法的报文中间,通过合法的用户发布出去。针对这种情况本文提出了网络信息审计系统,它是传统网络安全产品的有效补充。本文分析了网络信息审计系统的基本模型,介绍了各个模块的功能,比较了几种常见的模型结构,结合实时网络数据流的特点,提出了一种基于内容的网络信息审计系统模型。模式匹配是网络信息审计中关键技术之一。它的效率,例如匹配的速度,直接影响到信息审计系统的工作性能。模式匹配算法包括单模式匹配算法和多模式匹配算法。在网络信息审计中,模式集通常是十分庞大的,包含数百个甚至上千个模式,这些模式要占用很大的空间。经典单模式匹配算法Boyer-Moore(BM)和多模式匹配算法Aho-Corasick(AC)都不适合于此。本文提出了一个分级的多模式匹配算法(Classifiable Multi-pattern Matching Algorithm,简记为CMA),该算法首先从模式集中找出频繁字符集F,用它建立第一层表H1,再结合模式集均衡分组策略将模式集分成若干个模式子集,然后建立第二层表H2,通过它们进行分级多模式匹配。因为H1比较小,所以可以直接将其载入片上存储器中,另外数据包T中的大多数字符都是无害的,这样大部分字符经过快速的一级匹配便可以通过。只有一级匹配成功时才进行二级匹配,这样只需将与之相关的模式子集调入片上缓存。所以,CMA加快了匹配的速度,并且不会有模式漏配。本文后面通过一个实例演示了分级模式匹配的过程,并且在Snort系统中将这一算法的性能进行验证。