随着互联网的迅速发展，信息系统越来越多地被应用到各行各业中去，为企业生产效率的提高、为便利人们的日常生活发挥了重要作用。与此同时，安全方面的问题成为制约信息系统广泛应用的关键因素，其中很多安全事件的发生是由于用户使用不当或用户的违规、恶意访问造成的。对重要网络和关键节点中用户的访问行为进行核查，已经成为了信息系统安全领域的研究重点之一。针对以上问题，本文以Web信息系统中的数据流作为研究对象，通过数据流分析，实现对网络访问行为的核查。主要工作包括以下几点：1、从基于Web数据流分析的用户访问行为核查需求出发，分析了Web数据流产生过程和Web信息系统中的用户访问过程，总结了Web数据流的双向性、动态性、关联性的特征。结合信息系统应用环境的特点，提出并建立了一种适应Web应用环境的基于数据流分析的用户访问行为核查框架，该框架具有对应用系统透明、准确追踪用户访问过程、高效核查用户行为的功能，为实现信息系统用户访问行为的透明、有效的核查奠定了基础。2、基于上述框架研究了基于多维身份属性的Web用户身份识别与追踪方法。针对网络数据流中用户身份碎片性、动态性、多样性等特点，提出基于多维用户身份属性的用户识别与追踪方法。该方法首先将用户身份属性分为特有属性、动态属性、描述属性三类，实现对用户身份的立体描述；然后，基于对数据流用户身份片断的分析，设计了用户身份片断的识别策略；最后，研究了基于用户身份片断关联的用户身份识别算法和基于身份属性关联的用户访问追踪算法。该方法具有对身份识别准确性高和对用户访问行为追踪完整度好的特点。3、给出了支持回归纠错的用户访问行为核查方法。现有基于策略的网络行为核查方法虽然效率高，但不支持用户行为的动态变化，也不支持对未知行为模式的核查。现有基于指标的网络行为核查方法，虽然适用性好，但效率比较低。为此，本文首先提出一种支持回归纠错的用户访问行为核查方案：针对已知的用户访问行为，提出基于图的网络行为描述方法，在此基础上设计了基于图的网络行为识别算法；针对未知的用户访问行为，提出基于层次分析法的用户行为评估方法，根据评估结果优化行为核查策略库。本方法通过学习、反馈等机制，调整和优化行为核查策略库和核查指标，本方法同时支持已知行为和未知行为的核查，实验表明它具有较高的核查精度和较好的适应能力。4、在对上述技术进行深入研究的基础上，设计了基于Web数据流分析的用户访问行为核查原型系统，对部分功能进行了实现验证，在相关项目中进行了应用。