随着互联网技术的不断发展,互联网络上的应用的不断增加,网络安全事件也呈现日益增长的趋势,影响的范围和造成的损失也越来越大。安全事件相关的应急响应在网络安全体系结构中是不可缺少的重要环节,国际上这一领域的研究和服务已经开展了十多年,中国在应急响应方面的研究起步不久,但是已经引起了政府、教育和学术、企业等各界的密切关注。本文以华东(北)地区网络中心为应用背景研究并设计了应急响应管理系统。安全事件应急响应牵涉到大范围的动作,尽管这些动作中许多是对事件的直接响应,但是还有许多方面涉及到处理事件的准备工作和如何使应急响应人员能够更加有效地工作。因此本文的第一个研究内容是应急响应规程问题。毫无章法的响应动作有可能造成比事件本身更大的损失。采用系统的、合理的和预先定义好的过程来响应安全事件是非常重要的。应急响应规程是应急响应管理系统的重要组成部分。本文根据国际上最权威的应急响应PDCERF六阶段的总体框架,结合华东(北)地区网络中心的安全政策,和华东(北)地区网络中心应急响应小组的响应实践整理并规范设计了华东(北)地区网络中心的应急响应规程,用以改进华东(北)地区网络中心应急响应小组的响应实践工作。通过应急响应规程可以对事件响应前,事件响应过程中和事件响应后所要作的工作有详细的认识,应急响应规程可以指导响应人员有条不紊地响应安全事件。在事件响应过程中很多不同的响应方式都可以达到相同的安全目标,那么该选择哪种响应方式是最合适的呢?这就是本文的第二个研究问题:响应决策。响应决策算法对报告来的安全事件进行决策并自动生成响应建议,管理员根据生成的响应建议进行事件的响应。本文借鉴了基于分类的响应决策模型和Wenke Lee的成本敏感模型,并综合了响应决策中的一些不确定因素,比如事件报警可信度、攻击目标的安全状态和响应效果的反馈等,提出了基于分类的效益优先的响应决策算法。该模型考虑到了事件的危害、响应的付出和响应效果的反馈,从全局考虑对安全事件选择最优的响应方式。响应效果参与响应决策中可以大大提高响应决策的灵活性和自适应性。该模型涉及三种代价:事件残留损失代价、响应操作代价和响应负面代价。本文给出了事件残留损失代价的具体量化方法,并将其它两种代价转换为事件损失代价的计算,从而实现这三种类型代价的统一量化。响应决策的免疫判断筛选功能把安全事件和攻击目标的安全状态结合起来,筛选掉攻击目标能完全免疫的安全事件,这样就大大减小了入侵检测系统检测安全事件时忽略具体攻击目标特征所带来的负面影响。事件报警可信度参与响应决策也可以减少入侵检测系统事件误报所带来的负面影响。本文将所提出的响应决策算法实现于应急响应管理系统中。对响应决策算法的分析表明,该算法综合考虑了各种因素,能够对事件进行免疫和代价判断筛选,能够对需要响应的安全事件在所有可行的响应方式内进行响应效益排序,并选择最优的响应方式,最后生成的响应建议具有攻击目标针对性,而且响应政策能够根据环境的变化灵活地进行调整,对响应方式和事件的分类也有着良好的可扩展性。在系统的测试中,响应决策算法在功能上、性能上达到了预期的结果。论文最后对未来应急响应管理系统的研究进行了展望,指出了制定详细、可行的应急响应规程在事件应急响应工作中的重要意义,指出了将专家系统应用在响应决策中的意义,指出了将复合攻击识别和攻击预测应用在响应决策中的意义。