安全运营中心(SOC)是近几年企业信息安全研究领域的热点之一。安全运营中心在理论上主要由五部分组成：事件发生器，事件收集器，消息数据库，分析引擎和响应模块。在建设安全运营中心的主要问题是如何将五个不同的模块结合成一个有机整体，而且传输的数据都应该满足信息安全的三个要素：机密性、完整性、可用性。安全运营中心在技术上的核心模块是告警分析模块。此模块主要作用是对海量报警信息进行过滤、合并、关联分析，报告到统一管理界面并触发告警响应模块进行相应的处理。本文在深入分析两类事件关联算法的基础上，建设性的提出了一种在SOC架构下的关联分析器模型，在SOC核心模块的设计构造上作了有益的探索。本文在关于建设企业安全运营中心的研究方面主要做了以下工作：1、企业安全运营中心相关理论的整理和分析文章首先从企业安全运营中心相关理论的分析入手，由整体到局部阐述企业安全运营中心的整体体系结构，对企业安全运营中心的工作模式和流程进行了描述。描述了企业安全运营中心与其它安全子系统、网管中心和运维系统的关系，并对企业安全运营中心所涉及到的负载均衡、相关性分析、脆弱性分析、快速响应等方面关键技术进行了概述。2、企业安全运营中心事件关联分析介绍了事件关联分析的相关概念，阐述了事件关联分析模块的结构和事件建模，然后对基于知识库的关联算法和非基于知识库的关联算法分别进行深入的理论分析，在基于各类关联算法的特点和企业安全运营中心的特点上，提出了一种全新的SOC事件关联分析器结构，并从设计思路、应用算法、分析器架构等方面对此事件关联分析器进行讲解，最后分析了关联分析方面有待研究的方向。3、企业安全运营中心部署思路和建设实例笔者根据实际工作中的经验和切身体会，分析了企业信息安全建设的思路和方法。根据项目建设经验对企业如何部署SOC进行了探讨，最后列举了参与过的SOC建设案例。总之，本文通过对SOC相关的理论分析，以及关联分析算法的研究，在事件关联分析器的设计上提出了一些新的想法，并通过探讨在企业部署SOC的实际案例，希望在企业的信息安全建设方面有所帮助。