日志分析服务器

负责接收采集服务器发送过来的事件，然后对这些事件进行关联分析，通过威胁，弱点等级，资产的价值计算出风险值，然后将关联分析的结果保存到数据库中。帮助管理人员掌握系统目前遭受了那些攻击，那些攻击是最有威胁的，实时，准确的给出组织中信息资产的风险量值。

产品特性如下：
 接收从采集代理发送过来的日志，供分析引擎分析。分析服务器采用多线程的方式运行，大大的节省了系统的开销。

 对事件的分析。分析服务器能实时的对日志进行分析，事件接收后都是放到了事件队列中，供分析线程进行分析。通过分析，给出每个安全事件的两个重要的变量：优先级和可靠度。可靠度用来衡量一个攻击事件攻击成功的可能性，优先级用来说明一个攻击如果成功，将造成损失的程度。

 灵活适用的分析策略。可以指定详细的分析策略，对事件进行分析，过滤。对不同的事件采用不同的策略，如：对符合Ａ条件的策略，将转发到更高级别的服务器，对符合Ｂ条件的策略，进行关联分析等。适合大组织的分布式部署。

 分析服务器有多种角色，对不同的服务器可以指定不同的角色，完成不同的任务。目前有的角色有：交叉关联，关联分析，计算事件的属性值，转发告警，转发事件，存储事件。用户可以根据具体的需要，灵活设置每台服务器的要完成的任务。

 交叉关联，对事件的特征和弱点信息进行关联，如果两者能关联上，那么这种攻击时很有威胁的，马上出发告警。

 特征关联，根据事件的目标资产特征，进行关联分析，例如：如果Ａ事件是针对于apache V1.3服务器的ｈｔｔｐ服务器的攻击，那么线程将查询系统的弱点数据库，看该系统是否有目前攻击事件可以利用的漏洞或者弱点信息。如果有，那么认为是比较高风险的事件。

 逻辑关联，根据多个事件进行关联分析，如：防火墙检测到某个ｉｐ正对ＨＴＴＰ服务的攻击，而且从一个流量系统中有大量的从该ｉｐ到内部某服务器的流量，那么通过关联，我们能发现这个ＩＰ已经通过某种方式入侵到系统的内部。这时候可能还没有造成大的影响，只是攻击前的试探。通过告警，可以及时发现这种安全威胁。

 服务器将从代理接收来的事件都保存到数据库中，已备审计只用。

 服务器性能优异。以该项目配置的一台服务器一天内可以正确的分析过亿条的日志记录。