随着人们安全意识的不断增强,安全设备部署得越来越广泛。运维安全管理员面临应对安全设备产生的海量数据和误报的严峻挑战。由于各种网络设备的功能侧重点不同,造成了安全设备各自为营的局面。通过专业的安全事件分析,从海量的安全事件中找出真正的威胁数据,消除误报,使得运维用户准确感知网络安全态势,提高安全管理工作效率成为急需解决的问题。安全运维平台态势分析系统可以从各种安全设备和软件中获取相关数据,整合异构的网络安全设备,通过预定义的安全规则进行实时的安全事件关联分析,并集合当前网络的检测数据,加上之前定义的资产价值,进行相应的安全风险评估,从海量的安全事件中找出真正的威胁。使不同层次的用户都能够准确感知网络安全态势,并能从不同角度给出建议措施。本文首先以OSSIM系统为原型,通过分析研究OSSIM的技术架构,理解和掌握开源安全运维平台的原理和架构,同时了解和查阅与之相关的安全技术。其次,对课题要求实现的平台功能进行需求分析,尤其是对课题重点研究的数据采集、安全事件聚合、关联分析决策的需求进行了详细的分析和理解。然后,对数据采集系统的详细设计和实现进行了介绍,并对设计和实现中遇到的困难和问题提出了解决方案。针对不同数据采集对象,分别采用侦测器和异常监控器两种方式进行采集。设计和实现了数据归一化处理的方法。再次,对关联分析决策系统进行详细的设计和实现。研究和探讨不同的关联算法的优劣势。采用事件序列关联和启发式关联相结合的方式实现关联分析功能,得出有效安全事件集合。之后,详细阐述事件聚合的设计和实现,通过安全事件与聚合告警进行相似度运算,从海量的安全事件告警数据中得到有效的聚合告警。使得关联分析建立在可靠地具有趋势特征的告事件数据基础上,使关联分析的结论更具可行性。最后,对系统的有效性进行了实验验证。本文设计实现的安全运维平台通过关联来自不同地点不同类型的安全设备产生的经过规范化统一格式的安全数据,降低了安全事件的误报率,提高了安全管理中心应对网络安全威胁的能力。