1、隨著信息化建設(shè)步伐的加快，如何有效化解安全風(fēng)險(xiǎn)，有效應(yīng)對(duì)各種突發(fā)性安全事件已成為不容忽視的問(wèn)題。當(dāng)前，國(guó)家級(jí)的通信平臺(tái)、政府職能部門(mén)、電信通訊運(yùn)營(yíng)商、跨地域大型企業(yè)，其網(wǎng)絡(luò)不僅部署地域分散，規(guī)模龐大，而且與業(yè)務(wù)系統(tǒng)耦合性較高。如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺(tái)，實(shí)現(xiàn)安全形勢(shì)全局分析和動(dòng)態(tài)監(jiān)控已成為各級(jí)信息系統(tǒng)維護(hù)部門(mén)面臨的主要問(wèn)題。 Security Operation Center（以下簡(jiǎn)稱SOC）安全操作平臺(tái)應(yīng)運(yùn)而生，通過(guò)

2、集中收集、分析記錄了安全事件的日志，對(duì)網(wǎng)絡(luò)威脅及時(shí)作出反應(yīng)，向管理者提供安全趨勢(shì)報(bào)告，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效控制，是目前流行的電信級(jí)安全解決方案。但已有的SOC系統(tǒng)架構(gòu)多為理論性質(zhì)，其模塊界定較為模糊，對(duì)日志處理過(guò)程的描述較為籠統(tǒng)，沒(méi)有說(shuō)明日志處理有哪些步驟、每一步應(yīng)該如何處理、處理后達(dá)到什么效果等等。 本論文介紹并分析了已有的SOC系統(tǒng)架構(gòu)，提出了符合具體項(xiàng)目背景的SOC新架構(gòu)。與已有的SOC架構(gòu)相比，新架構(gòu)將日志的處理進(jìn)一步細(xì)化成

3、過(guò)濾、解析范化、歸并和關(guān)聯(lián)分析四個(gè)步驟，將處理所參考的規(guī)則獨(dú)立于流程外，并且貫穿日志處理始終。在新架構(gòu)的基礎(chǔ)上，本文提出了對(duì)日志進(jìn)行預(yù)處理的過(guò)濾模塊和解析范化模塊的概念。經(jīng)過(guò)大量調(diào)研，提出了過(guò)濾模塊的兩種過(guò)濾模式--基于PRI的過(guò)濾和基于字段的過(guò)濾；分析了解析范化處理的兩個(gè)難點(diǎn)--多層次結(jié)構(gòu)的日志解析和不同格式日志的整合。并依據(jù)目前主流的技術(shù)和協(xié)議，針對(duì)以上內(nèi)容提出了解決方法，按照新架構(gòu)處理程序與參考規(guī)則分離的思想提出了相應(yīng)的設(shè)計(jì)方案。