系统审计是检测高级持续性威胁（APT）攻击的关键技术，但攻击者可能尝试破坏审计框架本身以隐藏恶意活动。本文对审计框架中的“超级生产者威胁”进行了全面系统的研究。该威胁使攻击者能够通过产生大量审计数据来淹没审计框架，导致其崩溃或性能严重下降，甚至瘫痪整个系统。作者分析认为，现有集中式审计架构缺乏数据隔离是导致该威胁的根本原因。为此，他们提出了一种新型审计框架NODROP，采用基于线程（threadlet）的架构设计，实现了不同进程产生的溯源数据之间的隔离。NODROP的核心思想是将审计数据的产生和处理分配到多个独立线程中，每个线程管理特定进程的审计数据，从而防止单一进程的恶意行为影响其他进程或整个系统。实验评估使用了八种不同的硬件配置，结果表明NODROP在保证审计框架完整性的同时，平均应用程序开销仅比原生Linux高6.58%，比业界领先的商业审计框架Sysdig低6.30%。该研究揭示了审计框架设计中一个被忽视的安全问题，并提供了一个可行的解决方案，对于系统审计领域的安全研究人员和开发人员具有重要参考价值。