安全大数据分析，指利用大数据的思维和手段对网络安全运维相关的数据进行智能挖掘与分析。安全大数据分析的目的，是通过关联分析等手段发现防火墙、WAF、IDS等检测不到的高级持续性安全攻击行为和未知威胁行为，弥补传统安全防护措施的不足。

安全大数据分析要以丰富海量的安全大数据作为分析对象。网络环境整体的安全分析需要大量的数据支撑，需要解决多元数据采集的问题。数据采集的对象应包括设备日志数据、全流量审计数据、弱点信息数据、资产数据、用户行为数据、威胁情报数据等多元的异构数据，对海量的数据解析处理并进行存储。

安全大数据分析要以建立科学合理的分析模型作为前提。一般认为安全大数据的分析模型包括但不仅限于：规则模型、关联模型、统计模型、异常检测模型等。通过各模型不同的特点功能对安全大数据进行全面的分析。

规则模型：通过定义规则策略，提取分析安全大数据中的有效字段进行比对，基于应用场景从安全日志等数据中筛选识别安全事件。

关联模型：对跨设备的多源的安全数据进行关联分析，从多个安全事件中检测行为模式，发现隐藏的高级威胁及安全风险。

统计模型：从安全数据中发现重要的统计特征，通过设置阈值进行过滤，找出异常指标，发现可以从指标异常中体现出的恶意行为和安全事件。

异常模型：采集历史数据，通过持续的机器学习构建正常的行为基线并持续更新，自适应发现偏离于基线的异常行为。

安全大数据分析是实现全面网络安全态势感知的必要手段。通过收集网络安全大数据并进行深度分析，可以实现海量大数据存储查询、网络攻击行为追踪溯源、资产被攻击情况追溯等功能，可以对网络拓扑域的安全状况、网页被攻击访问的详细状况进行态势可视化呈现，同时可以综合等保信息数据、安全审计信息数据等，为信息安全等级保护建设提供数据支撑。