随着网络攻击的频繁出现,使得人们对网络安全实时监控的需求日益迫切,而监控中对安全告警事件的处理以及分析直接反应了安全监控平台的工作能力,那么如何快速高效的处理大量安全事件成为监控的关键之一,这也是本文的主要研究工作。本文没有采取传统的基于数据库的事件处理技术,而另辟蹊径的将事件流技术应用到网络安全事件处理中,利用事件流技术的快速处理优势,提高事件处理速率;同时又将规则引擎融入到事件流框架中,利用其优化的规则分配机制以及复杂逻辑执行能力,实现了对海量事件的并行计算和深度挖掘分析能力,并基于上述两种技术设计开发了一套规则事件流处理引擎——R-ESPE(Rule-Event Stream Process Engine),最后将该引擎应用在本文设计的安全事件监控系统中。该系统在输入端完成了对多种网络安全设备的标准化工作,因此能够统一采集、解析多种安全设备发送的告警事件;当形成的输入事件流通过R-ESPE时,该引擎使用EQL接口语言可有效支持对高速大规模网络安全事件的快速实时处理和复杂逻辑计算分析,并保证基于其上的事件监控系统能够高效运行。然而随着对事件流处理技术的研究深入,发现其存在一个问题——规则调度时间的控制混乱,当使用事件流技术处理安全事件的操作越复杂,这种时间的控制越困难,因此本文在最后又提出了一种改进的R-ESPE框架,将工作流机制加入到事件流处理中,利用工作流的过程模型预先定义好整套规则执行流程,并由工作流引擎决定何时调度哪个规则进行查询和计算分析,从而解决了无法控制规则调度时间的问题,实现了更加灵活的事件处理能力。