1.一種面向威脅場景的智能化安全事件關聯分析系統，其特征在于包括海量格式事件存儲模塊、分析模塊、可視化展示模塊；

所述海量格式事件存儲模塊支持單個事件采集器和多個事件采集器，借助硬件多核特性，采用并行事件流水線采集方式采集海量日志數據，并采用了異步非阻塞的事件采集方式，借助高速緩存快速地進行事件并行流水線處理；

所述分析模塊包括事件關聯分析模塊、綜合威脅分析模塊、攻擊鏈分析模塊、攻擊路徑分析模塊、Web攻擊深度分析模塊、網絡流量元數據行為分析模塊、網絡異常行為分析模塊；

所述事件關聯分析模塊包括基于規則的關聯分析模塊、基于情境的關聯分析模塊、基于行為的關聯分析模塊；

所述基于規則的關聯分析模塊是通過事件關聯引擎進行規則匹配，識別已知模式的攻擊和違規的過程，支持建立單事件規則和多事件規則，實現單事件關聯和多事件關聯；所述單事件關聯是通過單事件關聯，對符合單一規則的事件流進行規則匹配；所述多事件關聯是通過多事件關聯，對符合多個規則的事件流進行復雜事件規則匹配，所述多個規則稱作組合規則，具體采用如下方式進行分析匹配：

(1.1)基于nondeterministic finite automata(NFA)不確定有限自動機的模式匹配；

(1.2)基于Extended Backus-Naur Form(EBNF)擴展BNF范式的CQL(Continuous QueryLanguage持續查詢語言)的語法編譯；

所述基于情境的關聯分析模塊是將安全事件與當前網絡和業務的實際運行環境進行關聯，透過信息相關性分析，識別安全威脅，具體包括如下分析內容：

(2.1)基于資產的情境關聯：將事件中的IP地址與資產名稱、資產價值、資產類型、自定義資產標簽進行關聯，所述資產類型包括用戶自定義資產類型；

(2.2)基于弱點的情境關聯：將安全事件與該事件所針對的目標資產當前具有的漏洞信息進行關聯，包括端口關聯和漏洞編號關聯；

(2.3)基于網絡告警的情境關聯：將安全事件與該事件所針對的目標資產或發起的源資產當前發生的告警信息以及當前的網絡告警信息進行關聯；

(2.4)基于拓撲的情境關聯：根據網絡故障沿網絡拓撲水平傳播的特性，通過對大量網絡告警事件在拓撲空間中的分布，以及傳播時間上的順序，自動進行網絡根本故障源診斷；

所述基于行為的關聯分析模塊具體包括如下分析內容：

(3.1)動態基線分析：根據歷史數據，首先建立一個單周期數據庫輪廓基線，該單周期數據庫輪廓基線是一條曲線，由若干數據輪廓點組成，每個輪廓點代表一個采樣時點，一個新的實際測量值如果沒有超過基線范圍，則通過加權平均算法更新舊的輪廓值；如果新的實際測量值超過基線范圍則丟棄，不參與新輪廓值計算；如此往復循環，基線始終處于動態變化中；

(3.2)預測分析：采用基于時間窗置信區間的檢測模型，在實際運行中不斷自我調整和逼近，自動剔除歷史時間窗內的異常歷史數據，實現歷史時間窗數據與網絡實際正常流量行為特征的高度吻合，從而提高了對異常行為報警的準確性；

所述綜合威脅分析模塊包括如下內容：系統采用基于場景的分析方式，其中，場景定義了行為分析的主體、在該主體上采用分析指標以及觸發行為預警的閾值；行為分析的主體就是資產IP；行為分析指標表征某種行為的關鍵指標，通過對這些指標的監控與分析發現可疑的行為，包括將某種類型或特征的事件的數量或比例作為特征指標；

所述攻擊鏈分析模塊對從歷史數據倉庫中挖掘多步攻擊行為發生模式，再通過實時的模式匹配和攻擊關聯來實現在線攻擊意圖識別，具體包括：在歷史數據倉庫中進行數據挖掘，通過過濾掉趨勢項和周期項告警，再根據主要屬性信息對告警進行分類，對分類后的告警類別進行攻擊類型識別從而產生高級安全事件，并利用攻擊場景時間窗口把安全事件告警數據庫轉化為候選攻擊序列集，再利用改進的Apriori-all序列模式挖掘算法從候選攻擊序列集中挖掘出多步攻擊行為發生序列模式；不同的攻擊行為序列模式反映了不同的多步攻擊的攻擊步驟行為發生模式，再通過實時的模式匹配和攻擊關聯來實現攻擊場景重建、在線攻擊意圖和攻擊策略的識別；

所述攻擊路徑分析模塊采用啟發式場景重建技術，具體包括如下內容：

(4.1)對于匯總到的報警事件，首先基于已有的攻擊場景知識庫進行報警事件間的關聯；

(4.2)對于匹配中的攻擊序列，如果新接收到的報警可以與現有攻擊序列匹配，則直接進行關聯；如果不能與現有攻擊序列匹配，但能夠與某個攻擊序列的后續事件匹配，則將新接收到的報警與該序列匹配，并產生一個“虛報警”標志缺失的事件類型；

(4.3)根據攻擊路徑圖的描述確定虛報警的事件類型，并根據該虛報警前后相關報警的時間確定該虛報警時間范圍的描述，再利用原始數據進行回溯分析，查找是否存在漏報的報警事件，如果找到則將其重新加入到攻擊序列中，直至匹配完整個攻擊路徑圖；

所述Web攻擊深度分析模塊包括如下內容：從會話狀態、請求數據、響應數據分析、身份認證、文件上傳、訪問頻率、WAF攻擊日志、暗網連接利用模糊綜合評價法，基于特征相關的改進加權樸素貝葉斯分類算法進行深度分析，挖掘傳統手段漏報的攻擊；

所述網絡流量元數據行為分析模塊具體包括如下內容：通過對內網流量行為建模與分析自動建立流量周期性基線和非周期性基線，自動發現設備互聯關系，預測網絡擁擠，并采用支持網絡優化決策，以及基于基線發現網絡異常；

所述網絡異常行為分析模塊具體包括僵尸網絡監測發現、失陷主機發現、慢掃描監測、惡意郵件發現和擴散分析；

所述可視化展示模塊包括如下內容：生成展示一幅審計數據源的拓撲圖，反映審計數據源的網絡拓撲關系，并且在拓撲節點上標注出每個審計數據源的日志量和告警事件量，管理員點擊拓撲節點可以查詢日志和告警信息詳情。