随着以计算机和网络通信为代表的信息技术的迅猛发展,现代政府部门、军事军工、金融机构和商业组织等对网络安全的要求也越来越高。在当前窃密程序种类千变万化、攻击手段层出不穷的情形下,建立健全合理的安全体系,开发出行之有效的安全监控系统是信息保密工作中的重点。本文深入研究了正常应用与恶意程序在网络通信中的行为特征,突破传统的基于特征码识别恶意程序的分析思路,提出基于网络行为的新型分析方法。首先讨论了传统的基于特征码匹配的恶意程序监控方法,指出其在复杂多变的网络环境的下低适应性和在高速网络环境下的低性能缺陷；然后讨论了基于行为分析的系统对象模型和设计思路,在深入理解网络协议的基础上,本系统建立了数据包(Packet)、连接(Connection)、簇(Cluster)、节点(Node)、会话(Session)等网络对象模型,并在对象模型基础上对网络数据流进行了深入的行为分析,给出一系列的上层行为事件；最后,本文详述了基于行为分析的网络通信监控系统的具体实现,并给出了实际环境测试和实验结果分析。实验结果表明,该监控系统能准确和高效地识别出受外部控制的、危险的网络连接,也能识别出大多数正常的网络通信连接,并能在高速的网络环境下实现实时处理,具备良好的应用效果。