当前的网络及信息系统中通常部署了防火墙、入侵检测系统(IDS)、防毒软件、漏洞扫描器等主流安全工具,这些安全工具在运行中会产生大量的异构安全事件,同时,由于技术的局限性,安全事件中又会包含大量的误报信息及无关信息。这些数量巨大、质量不高的安全事件超过了管理员的处理能力,使得安全工具无法起到应有的作用。为此,我们开展了安全事件管理系统(SEMS)关键技术的研究。安全事件管理系统的目标是通过自动化的分析工具,对网络系统中多节点处生成的大量异构安全事件进行分析与处理,在对原始安全事件进行过滤、聚类与关联分析后,生成能代表整体攻击意图的全局告警,使得管理员能更准确地了解系统当前所面临的安全威胁,并为进一步的安全响应提供支持。安全事件管理系统是一个很新的研究领域,学术界、产业界的研究与开发都刚刚起步,所需要研究的方法、技术、标准都很多,做为一项研究课题,本文的主要研究内容与创新点包括:提出了基于移动Agent的安全事件管理系统体系结构。在对安全事件管理系统的功能、性能需求进行分析的基础上,针对传统集中式体系结构存在的不足,结合安全事件本身的层次化特性,提出了一种基于移动Agent的安全事件管理系统体系结构,以及与其对应的分布式安全事件收集、分布式安全事件过滤与聚集、集中式安全事件关联分析的安全事件处理策略。设计了完成不同事件处理任务的Agent角色,通过Agent的协作共同实现安全事件管理的功能。提出了基于多源安全信息的IDS告警验证技术。针对现有验证算法仅简单利用漏洞信息的不足,提出了综合利用目标系统的漏洞信息、配置信息、系统状态监测信息等多源安全信息进行IDS告警验证的方法。结合IDS告警信息本身的特性,分别设计了告警队列验证算法与告警验证算法,提高了告警验证引擎的效率与验证准确度。提出了基于主成分分析(PCA)与学习向量量化神经网络(LVQ)的安全事件聚类技术。针对安全事件通常采用多维属性进行描述的实际情况,首先通过主成分分析技术对其进行降维处理,并以均方差最小为约束条件来最大程度地保持原有信息量,之后采用学习向量量化神经网络对其进行聚类分析。根据上述原理,将PCA-LVQ模型用于对kddcup99数据集进行聚类分析,实验结果表明该技术可以有效地提高告警聚类的准确度,并降低了时间开销。提出了一种层次化的安全事件关联算法。在对现有告警关联算法及其存在不足进行分析的基础上,针对安全事件本身具有的层次化特性以及多步骤攻击行为的一般规律,提出了一种“漏洞关联+时空关联+意图关联”的三层关联算法。通过漏洞关联,可以发现原始安全事件中存在的误报信息,实现对原始安全事件的过滤;之后对过滤后得到的有效安全事件进行时空关联,根据安全事件之间的时空关系,将时空相似度超过阈值的安全事件关联为单步告警;根据单步告警之间在攻击意图上的转移概率,对代表不同攻击步骤的单步告警进行意图关联,得到代表整体攻击行为的全局告警。将三层关联算法应用于LLDOS1.0数据集,可以有效地发现攻击者的整体攻击意图与攻击过程。以上述研究工作为基础,我们实现了一个基于移动Agent的安全事件管理原型系统MA-SEMS。该系统对安全事件管理任务进行了划分,设计了不同的Agent角色来分别完成相应的安全事件处理任务,设计了Agent的通信机制。不同角色的Agent通过Agent通信机制进行协作,利用移动Agent的自主执行能力、移动能力、交互能力对安全事件进行高效的检测、过滤、聚类与关联分析,共同实现安全事件管理系统的目标。相关的实验证明了MA-SEMS的正确性与有效性。