1.一種基于日志大數據分析的智能終端接入安全預警系統，其特征在于包括內部失陷檢測、外部攻擊檢測和內部違規檢測；

1)內部失陷檢測

利用全流量威脅檢測分析服務工具，采用大數據分析技術和高級網絡攻防模型，對已采集的流量事件進行分析和研判，快速分析當前智能終端或系統是否已經被惡意者掛了webshell，內部是否存在反彈shell以及Redis服務的數量及詳情；

2)外部攻擊檢測

外部攻擊檢測主要是攻擊態勢分析，可以發現內部服務器受到攻擊的總體情況，提供整體攻擊類型的態勢分布、每種攻擊手段的詳細信息和攻擊的結果（攻擊告警、攻陷和提示）；

3)內部違規檢測

內部違規檢測包括多個方面；

3.1)威脅情報告警:可發現有實際行為的IOC告警行為，內部網絡受害者的詳細信息，包括目的地址、域名、URL、請求方式、訪問時間信息；

3.2)暴露面檢測:可以快速的分析出當前網絡內的非法攻擊面的信息，主要包括攻擊面的統計信息、各種開放端口的統計信息、新增攻擊面信息、攻擊面變更信息、攻擊面的詳細信息（服務器IP、端口、服務類型）；

3.3)非法外聯:可提供內部網絡詳細的非法外聯信息，包括非法外聯的目的IP物理地址、非法外聯事件的歷史趨勢、以及非法外聯事件的詳細時間、源IP、目的IP、端口信息；

源IP、目的IP、端口信息；

3.4)惡意DNS分析發現:提供內部網絡請求的DNS監控與分析，結合云端威脅情報，分析出內部DNS的信譽度情況，發現內部存在的惡意DNS的請求；

3.5)ACL梳理:可分析出當前網絡內現有的所有IP的訪問關系，包括源IP到目的IP不同端口的訪問關系；

3.6)弱口令:可通過主動和被動的方式分析發現內部服務器的弱口令的狀態，主要報告弱口令總數、被動統計發現的次數、字典匹配發現的次數和主動發現的次數；

3.7)異常登錄:可發現內部服務器的異常登錄行為，主要包括外部登錄內部服務器異常詳細情況（外部IP、IP歸屬地、內部服務器IP、協議、訪問時間）、異地登錄詳細情況（用戶、常用登錄地點、異地登錄地點和發現的時間）、非工作時間登錄詳細情況（來源IP、IP歸屬地、目的IP、協議和訪問時間）；

3.8)非常規服務分析:可提供內部網絡非常規服務的檢測和發現，如遠程控制服務、代理服務，主要包括Regeory?Tunnel、HTTP代理、SOCKS代理、Teamview/IRC服務的檢測和發現；

邏輯上分為指標體系層、權重賦予層和評價層；

指標體系層的主要功能包括：

按照網絡鏈路流量特點和智能采集終端和移動作業段信息安全攻擊行為及趨勢建立分析指標體系，包括攻擊來源、攻擊態勢、攻擊規律、攻擊結果、攻擊類型、供給關系攻擊發起者和攻擊部位；

通過統一標準與規范，對指標體系中的各指標進行實時信息采集與處理；

權重賦予層的主要功能包括：

基于各指標權重對影響智能終端和移動作業端運行狀態的各影響因素的重要程度進行評估，并對其進行相應的維護；

基于對終端設備歷史數據的采集及統計分析，實現對各指標重要程度的趨勢性分析及預測；

評價層的主要功能包括：

設備評價功能通過對設備歷史運行狀態的評價，實現對設備狀態的管理，及時對入侵行為進行分析和判斷；

智能終端接入安全預警系統以指標層次體系為基礎，通過指標權值對安全事件的級和攻擊行為進行評價；通過系統實際運行的數據，結合業務需求，為電網安全事件的設計評估、終端設備的優化、系統實用化提供輔助，所述方法包括下述步驟：

（1）經過調研智能采集終端和移動作業端信息安全攻擊行為及趨勢的日志內容，發現目前安全預警缺少有效的驗證手段問題并通過數據抽取及集成軟件進行數據采集與預處理；

（2）建立安全級、安全預警系統指標；

（3）根據評價對象的情況，將各個評價因素分類組合，形成一種包括目標層、準則層和評價對象層的層次結構；

（4）通過專家組對指標的兩兩比較建立比較判斷矩陣，輸入指標數據，由判斷矩陣計算相對權重系數，并進行一致性檢驗。