1.一種非暫時性計算機可讀介質，包括存儲于其上的指令，所述指令 使一個或多個處理器：

在被配置為執行網絡業務監測的一個或多個網絡設備處監測網絡中的 數據流；

識別所述數據流中的至少一個安全威脅；

獲取與所述至少一個安全威脅相關的網絡取證上下文；以及

將所述至少一個安全威脅和所述相關的網絡取證上下文存儲在存儲器 中。

2.根據權利要求1所述的計算機可讀介質，還包括用于使所述一個或 多個處理器在訪問所述至少一個安全威脅時提供對所述取證上下文的訪問 的指令。

3.根據權利要求1所述的計算機可讀介質，還包括用于使所述一個或 多個處理器給所述至少一個安全威脅分配安全事件ID的指令。

4.根據權利要求3所述的計算機可讀介質，其中，與所述至少一個安 全威脅相關的數據存儲在流記錄表中，所述流記錄表包括針對所述安全事 件ID的字段。

5.根據權利要求4所述的計算機可讀介質，其中，所述流記錄表還包 括針對報頭元數據的字段和針對應用ID的字段。

6.根據權利要求4所述的計算機可讀介質，其中，所述取證上下文存 儲在包含針對所述安全事件ID的字段的取證上下文表中。

7.根據權利要求6所述的計算機可讀介質，其中，分配給所述至少一 個安全威脅的所述安全事件ID被用于與所述至少一個安全威脅相關的所述 取證上下文。

8.根據權利要求1或2所述的計算機可讀介質，其中，所述取證上下 文包括以下中的一個或多個：應用元數據、端點進程、外部主機連接、內 部主機連接、以及存儲在一個或多個流記錄文件中的數據流記錄。

9.根據權利要求1-7中任一項所述的計算機可讀介質，還包括用于使 所述一個或多個處理器確定所述安全威脅是否是安全事件的指令。

10.根據權利要求1-7中任一項所述的計算機可讀介質，其中，網絡取 證上下文是僅當所述安全威脅被確定為安全事件時針對所述安全威脅獲取 的。

11.根據權利要求9所述的計算機可讀介質，還包括用于使所述一個 或多個處理器執行以下操作的指令：確定所述安全事件是否是遞歸的，并 且如果所述安全事件被確定為是遞歸的，則存儲針對所述安全事件的遞歸 取證上下文。

12.一種被配置為執行網絡業務分析的裝置，包括：

存儲器單元；

網絡通信接口單元；以及

處理單元，其通信地耦合到所述存儲器單元，其中，所述存儲器單元 存儲用于將所述處理單元配置為執行以下操作的指令：

從所述網絡通信接口單元接收網絡分組，所述網絡分組與網絡數據 流相關聯；

監測所述數據流以識別至少一個安全威脅；

獲取與所述至少一個安全威脅相關的網絡取證上下文；以及

將所述至少一個安全威脅和所述相關的網絡取證上下文存儲在所 述存儲器單元中。

13.根據權利要求12所述的裝置，其中，對所述數據流的監測包括深 度分組檢測。

14.根據權利要求12所述的裝置，其中，所述取證上下文包括以下中 的一個或多個：應用元數據、端點進程、外部主機連接、內部主機連接、 以及存儲在一個或多個流記錄文件中的數據流記錄。

15.根據權利要求12所述的裝置，其中，所述指令還使所述處理單元 使得用戶能夠確定針對所述至少一個安全威脅存儲的取證上下文的類型。

16.根據權利要求12所述的裝置，其中，所述指令還使所述處理單元 提供用戶界面，其中，所述用戶界面能夠用于查看所述至少一個安全威脅 和所存儲的取證上下文。

17.根據權利要求16所述的裝置，其中，所述用戶界面能夠用于關于 所述至少一個安全威脅來采取動作。