| 一级要素 | 二级要素 | 三级要素 |
| 融合对象 | 流量数据 | 网络中传输的原始流量或经协议还原后的流量协议日志 |
| 告警数据 | 监测发现的网络攻击、病毒、木马等安全告警信息 | |
| 日志数据 | 设备产生的各类操作系统日志、数据库日志、应用系统日志、安全日志 | |
| 网络资产数据 | 服务器、网络设备、存储设备、安全设备、数据库、终端等各类资产的详细信息 | |
| 网络架构 | 网络中各类设备、资产的拓扑结构、连接关系和信任关系 | |
| 基础知识数据 | IP定位数据、域名注册信息、邮箱注册信息等 | |
| 安全知识数据 | 安全漏洞信息、木马病毒信息、补丁信息等 | |
| 威胁情报数据 | 恶意域名、恶意IP地址、恶意代码MD5等 | |
| 融合目标 | 去重归并 | 将相同来源、相同目标或相同类型的安全事件进行合并 |
| 数据过滤 | 将错误的告警数据进行过滤,避免对分析过程造成误导 | |
| 数据补全 | 对原始数据中缺失的数据项进行补充完善 | |
| 数据关联 | 分析挖掘多源数据中存在的关联关系 | |
| 融合方法 | 时序关联 | 将不同时间段发生的相同来源或相同目标的攻击关联起来 |
| 来源关联 | 将来自相同来源的攻击活动关联起来 | |
| 目标关联 | 将来自不同来源并针对相同目标的攻击活动关联起来 | |
| 因果关联 | 将攻击者实施的多个攻击步骤关联起来,还原攻击链 | |
| 聚类分析 | 利用聚类算法将正常网络行为与异常访问行为予以区分,以发现可疑攻击活动 | |
| 人工智能算法 | 分析挖掘数据中未知的隐含关系,为发现未知漏洞、新型攻击活动、 新型木马病毒提供支撑 |