“十一五”“211工程”在CERNET网络中心和38个核心节点上建设了高性能网络管理与网络安全保障系统。HYDRA系统为安全保障体系下的主动安全防御原型系统,利用SDN实现对网络攻击自动化响应和恶意样本采集的工作;MONSTER为安全保障体系下的网络入侵检测和响应系统,集成了应急采集、元数据采集、基于规则的网络入侵检测等功能。为满足网络安全事件应急响应处理的新需求,本文实现MONSTER与HYDRA系统的集成,并对原有MONSTER系统进行了功能上的重构,增加取证采集和入侵跟踪,同时综合自动响应技术和多核处理器下并行化程序设计的相关技术要点,提升安全事件响应的整体效率。MONSTER和HYDRA系统的集成设计是论文研究工作的基础,本文把系统的集成设计分为了功能集成、架构集成和数据集成。在功能集成方面,完成了两个系统原有功能的选择和合并,明确了集成系统的功能组件划分;在架构集成方面,对两个系统原有的控制流进行了分析,并统一到一个控制流中,同时明确了系统组件间的依赖关系,最后明确了集成系统的架构图;在数据集成方面,对原有两个系统的数据流进行了分析和集成,并对共享的数据部分实现数据格式的统一。在取证采集方面,本文实现了面向多响应任务的取证采集方案,该方案首先完成了响应任务的生命周期管理和调度,在其内使用了多级队列调度策略并结合线程池技术,进行并发的作业执行,其次,利用OpenFlow交换机的流表对网络流量进行预筛选和相关过滤,降低系统的性能负载,同时使用高速报文捕获工具PF_RINGDNA,充分增加网卡的报文捕获能力,然后将多线程绑定在CPU多核上并发的采集报文,并根据采集规则对报文进行分类筛选,将匹配采集规则的报文写入共享缓冲区,最后对共享缓冲区内的报文完成时间排序和存储。在入侵跟踪方面,本文设计了基于应用层语义分析的入侵跟踪方案,该方案基于离线报文检测,首先使用Suricata和Bro完成对报文的检测,然后对检测日志进行预处理和格式化,最后对警报和协议活动日志进行警报日志语义分析得到案件的追踪结果。追踪结果包含IDS融合警报、网络行为频度分析结果和协议活动语义抽取结果。最后,论文对系统进行了性能测试,并以安全保障系统实际的案例进行取证采集和入侵跟踪的功能的验证和详细说明。实验结果表明,本文实现的取证采集和入侵跟踪功能有效的保证安全事件响应的及时性和正确性。