随着信息化建设步伐的加快,如何有效化解安全风险,有效应对各种突发性安全事件已成为不容忽视的问题。当前,国家级的通信平台、政府职能部门、电信通讯运营商、跨地域大型企业,其网络不仅部署地域分散,规模庞大,而且与业务系统耦合性较高。如何将现有安全系统纳入统一的管理平台,实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。Security Operation Center(以下简称SOC)安全操作平台应运而生,通过集中收集、分析记录了安全事件的日志,对网络威胁及时作出反应,向管理者提供安全趋势报告,实现对风险的有效控制,是目前流行的电信级安全解决方案。但已有的SOC系统架构多为理论性质,其模块界定较为模糊,对日志处理过程的描述较为笼统,没有说明日志处理有哪些步骤、每一步应该如何处理、处理后达到什么效果等等。本论文介绍并分析了已有的SOC系统架构,提出了符合具体项目背景的SOC新架构。与已有的SOC架构相比,新架构将日志的处理进一步细化成过滤、解析范化、归并和关联分析四个步骤,将处理所参考的规则独立于流程外,并且贯穿日志处理始终。在新架构的基础上,本文提出了对日志进行预处理的过滤模块和解析范化模块的概念。经过大量调研,提出了过滤模块的两种过滤模式——基于PRI的过滤和基于字段的过滤;分析了解析范化处理的两个难点——多层次结构的日志解析和不同格式日志的整合。并依据目前主流的技术和协议,针对以上内容提出了解决方法,按照新架构处理程序与参考规则分离的思想提出了相应的设计方案。