面对多样化的业务服务以及日益严重的安全威胁，为了构建全方位的安全管控平台，需要集成更多的安全防控系统，由此也产生了大量的数据。如何更好的利用平台数据提高整体的安全管控能力，对数据进行智能分析就尤为重要。

数据智能分析，是应用大数据技术以及机器学习、模式识别等智能算法，基于不同的业务场景，对数据进行分析，提供更加高效的智能化管理。

SiCAP开放式安全管理平台，对多个安全防控系统的数据进行汇聚与标准化，实现了数据共享机制下的统一数据管理，基于大数据、机器学习等技术，对资产信息、用户行为、监控数据、设备日志、网络流量等数据进行智能化分析，实现了异常风险分析、根因分析、智能审计、智能运维、智能预测。

（1）异常风险分析，包括：

① 日志异常检测：基于日志聚类、模式识别与机器学习等技术与算法，发现异常日志与潜在风险。

② 异常行为分析：建立行为基线，关联用户与资产行为，使用机器学习等算法找出严重偏离基线的可疑异常行为。

③ 威胁攻击监测：基于网络流量，应用机器学习等人工智能技术与算法，回溯分析异常网络行为，通过与威胁情报、行为模型匹配，发现潜在安全威胁和未知网络攻击。

（2）根因分析：对告警或异常事件，结合资产及业务关联关系，应用决策树、关联分析等智能算法，定位问题根源，有效缩短故障解决时间。

（3）智能审计：对运维会话与历史审计记录，应用大数据与机器学习算法，通过分析字符命令和用户行为形成规则库，通过匹配规则库审计运维操作命令和操作行为是否正常，对运维会话进行智能审计，并可根据最终审计结果对规则库进行更新。

（4）智能运维：对监控系统触发的告警或事件信息，利用压缩策略、智能算法、知识图谱等手段对告警或事件进行处理，确定引发故障的根因问题。对比运维知识库，一方面可提供运维建议，缩短问题解决时间；另一方面可触发特定场景下的运维方案，自动将故障进行恢复，反馈恢复结果至运维人员，事后对故障进行复盘及知识入库，形成智能运维的闭环。

（5）智能预测：依托大数据分析和机器学习能力，建立起面向业务场景的故障预测模型，基于历史告警的相关性进行关联分析和深度学习。同时与监控系统实时获取的数据结合，进行IT故障的趋势分析和预测，对未来可能发生的告警进行预警，实现故障的智能预测。

未来，SiCAP将以大数据为基础、算法为支撑、场景为导向，进行深入研究，实现数据智能分析在风险评估、智能响应等更多场景下的应用，构建更加智能化的开放式安全管理平台。