1、隨著互聯(lián)網(wǎng)的發(fā)展以及信息化程度的逐步提高，信息安全威脅也呈現(xiàn)出多元化、復雜化的趨勢。依靠單一的安全技術已經(jīng)很難解決現(xiàn)有的信息安全問題，信息安全要靠一個包括防火墻、防病毒、VPN、入侵檢測、漏洞掃描器等多項技術和安全產(chǎn)品組成的安全體系來實現(xiàn)。但是根據(jù)專業(yè)機構的調(diào)查顯示，在使用了多種安全產(chǎn)品和技術的企業(yè)或機構中，安全事件仍然居高不下。這引起了大家的反思，人們開始意識到信息安全管理的重要性，信息安全的重心開始由“技術”轉(zhuǎn)移到“管理”上來。信息

2、安全管理系統(tǒng)應運而生。信息安全管理系統(tǒng)一般至少包括以下子系統(tǒng)：事件管理、策略管理、資產(chǎn)管理、身份管理、應急響應。 安全事件管理系統(tǒng)是信息安全管理系統(tǒng)的核心子系統(tǒng)，它行使事件采集、事件分析處理、風險評估、事件審計等功能。它既可以與其他子系統(tǒng)協(xié)作構成完整的信息安全管理系統(tǒng)，也可以作為獨立的信息安全管理產(chǎn)品單獨運行。 本文設計了一個安全事件管理系統(tǒng)(Security Event Management System，SEMS)，

3、并利用STAT(State Transition Analyse Technology)技術實現(xiàn)了該系統(tǒng)。SEMS能夠支持對各種類型、各種品牌的安全產(chǎn)品的事件管理；能夠?qū)Ω鞣N安全事件進行采集，并實現(xiàn)事件標準化、過濾和歸并操作；能夠使用“資產(chǎn)關聯(lián)”、“聚類關聯(lián)”、“事件序列關聯(lián)”等多種方法進行事件關聯(lián)分析處理；能夠?qū)κ录M行實時監(jiān)控、審計和態(tài)勢分析。 在整個論文過程中，從信息安全的內(nèi)容和目標以及信息安全所面臨的問題入手，對安全事件

4、管理系統(tǒng)進行需求分析。并在此基礎上，做了以下的工作： (1) 定義了一個事件標準模型。在對安全事件管理系統(tǒng)進行細化分析，對關鍵技術進行調(diào)研的過程中，改進IDMEF數(shù)據(jù)模型，為安全事件管理系統(tǒng)定義了一個事件標準模型。該模型適用于各種異構的事件源，包括不同采集方式的事件信息、不同信息源的事件信息、不同類型的事件信息等。 (2) 定義了一個事件關聯(lián)模型，在該模型中采用了包括事件過濾、事件歸并、資產(chǎn)關聯(lián)、聚類關聯(lián)、事件序列關聯(lián)的