随着互联网的发展以及信息化程度的逐步提高,信息安全威胁也呈现出多元化、复杂化的趋势。依靠单一的安全技术已经很难解决现有的信息安全问题,信息安全要靠一个包括防火墙、防病毒、VPN、入侵检测、漏洞扫描器等多项技术和安全产品组成的安全体系来实现。但是根据专业机构的调查显示,在使用了多种安全产品和技术的企业或机构中,安全事件仍然居高不下。这引起了大家的反思,人们开始意识到信息安全管理的重要性,信息安全的重心开始由“技术”转移到“管理”上来。信息安全管理系统应运而生。信息安全管理系统一般至少包括以下子系统:事件管理、策略管理、资产管理、身份管理、应急响应。安全事件管理系统是信息安全管理系统的核心子系统,它行使事件采集、事件分析处理、风险评估、事件审计等功能。它既可以与其他子系统协作构成完整的信息安全管理系统,也可以作为独立的信息安全管理产品单独运行。本文设计了一个安全事件管理系统(Security Event Management System,SEMS),并利用STAT(StateTransitionAnalyseTechnology)技术实现了该系统。SEMS能够支持对各种类型、各种品牌的安全产品的事件管理;能够对各种安全事件进行采集,并实现事件标准化、过滤和归并操作;能够使用“资产关联”、“聚类关联”、“事件序列关联”等多种方法进行事件关联分析处理;能够对事件进行实时监控、审计和态势分析。在整个论文过程中,从信息安全的内容和目标以及信息安全所面临的问题入手,对安全事件管理系统进行需求分析。并在此基础上,做了以下的工作:(1)定义了一个事件标准模型。在对安全事件管理系统进行细化分析,对关键技术进行调研的过程中,改进IDMEF数据模型,为安全事件管理系统定义了一个事件标准模型。该模型适用于各种异构的事件源,包括不同采集方式的事件信息、不同信息源的事件信息、不同类型的事件信息等。(2)定义了一个事件关联模型,在该模型中采用了包括事件过滤、事件归并、资产关联、聚类关联、事件序列关联的多种关联方法。能有效的减少事件量,降低误报率和漏报率,发现分布式和组合式攻击。(3)在此基础之上设计并实现了一个安全事件管理系统-SEMS。对SEMS的总体框架以及各个模块的功能及实现做了具体的阐述。(4)以一个DDOS攻击的实际数据进一步说明SEMS的功能,并验证了SEMS的可行性及其在减少事件量,降低误报率和漏报率,发现分布式和组合式攻击上的有效性。