网络安全态势越来越复杂，传统的基于单点的防护和攻击检测系统在应对现代网络攻击方面有着很大的局限性。基于大数据平台，通过流式实时分析技术可以对全局网络空间进行实时的分析和异常检测，解决单点很难发现和处理的安全问题。

相比与互联网公司常见的大数据实时分析场景，面向企业用户的网络安全分析场景存在很多特殊需求和挑战，本次分享将介绍网络安全领域对实时分析系统的需求，并从这些需求出发，讲解如何设计适合网络安全领域的实时分析引擎，希望为业界解决类似问题提供参考和借鉴。

内容大纲

1、网络安全领域对实时监测系统的需求

• 网络安全领域的特点
• 网络安全领域对实时监测系统的要求、面临的问题及挑战

2、如何选择一个适合网络安全场景的实时计算框架

• 自研还是开源实时计算框架，如何选择?

3、如何设计网络安全领域的实时分析引擎

• 为什么要定制适用于网络安全场景的 DSL
• 如何选择并设计引擎架构
• 如何设计大规模规则编译器并对运行图进行优化以适应网络安全场景（子图融合、数据流优化、字段裁剪、表达式优化）
• 如何监控运行图状态及将图状态转换为用户规则状态
• 如何定制安全分析时间窗口并对时间进行管理
• 如何实现实时监测和告警并避免重复计算
• 如何增强引擎稳定性（内存 & CPU 保护）

听众受益

1. 了解如何基于 Flink 构造网络安全领域的实时分析引擎；

2. 了解实时网络安全分析引擎的架构和设计；

3. 了解构建实时网络安全分析引擎遇到的问题和解决方案。