规则条件对各种运算符，各种逻辑和条件运算，还允许用户引用各种外部资源，包括过滤器、资产属性、自定义资源、递归规则、过滤器插件和黑白名单等等。过滤器是构成规则的基本单位，也是进行事件分析的条件选项。用户定义了过滤器之后，可以进行各种复杂的事件分析场景设置。

基于状态的关联分析是一种基于“场景模拟”的分析手段，即按照已知的或设想中的攻击步骤假设出所产生的可能的事件序列，然后设计一系列分析条件以准确的过滤出该事件序列，这些分析条件组合起来就是规则。状态关联引擎读取已定义的规则集合，对安全事件序列作实时的实时关联分析，一旦分析成功，即意味着相应攻击步骤的发生，此时，将产生事件或者其他告警行为。

基于统计的关联分析，是在基于规则关联分析的基础上，根据事件的关键词检查并标明一系列事件的等同性，针对某个被监控对象，归并大量重复的报警信息。

历史关联分析是用于处理保存在系统中的原始告警的引擎，它和关联分析一样是基于规则的，但是历史关联分析的规则所模拟的场景的时间跨度更大，更侧重于告警的数量和告警之间的逻辑关系。

把当前资产或安全域的威胁以列表的形式展示，把当前资产或安全域的漏洞以列表的形式展示；
风险分析和呈现功能要求如下：
（1）风险呈现：支持不同风险模型关联后的风险呈现，以图表方式显示完整详细的风险内容。
（2）风险等级：系统需能够提供符合BS7799 / ISO 17799标准的风险管理视图，实时分析重要资产和安全域的各类风险，风险级别按照5级进行划分；
（3）风险检索：检索某一安全风险信息的详细信息，包括该风险所涉及的监控对象、漏洞情况、利用此漏洞已经发生的安全事件详细列表等信息。
（4）风险跟踪：跟踪指定对象、指定时间范围内所发生的安全事件，以及该对象中安全事件可能利用到“漏洞库”中的所有“漏洞”。
（5）风险信息查询：支持各种风险模型下，风险各项属性关键字条件组合查询。
（6）风险统计分析：支持各种风险模型下，以信息库各项属性为索引的统计分析，如系统风险分布图表、风险等级分布图表、风险分布图表、TOPN排序、风险变化表（每个月新发现的风险数、消除的风险数、残留的风险数）、风险趋势分析图等。
（7）风险响应设置：设定达到一定级别的风险应进行响应，响应的方式包括工单、EMAIL、SNMP TRAP、短信、其他定制方式等，在每次安全响应完成后将安全处理情况积累到安全经验库中。

系统除内置漏洞扫描系统外，还支持国内外专业漏洞扫描系统（如：绿盟、启明、极地银河等），漏洞库（支持CVE、BID等国际标准）可以与安全知识库进行关联也可存储在安全知识库中，漏洞库中包括漏洞的详细信息（如漏洞号、严重程度、描述等）。

事件具有全文检索功能，可以根据关键字作为搜索条件，支持模糊搜索，搜索结果以高亮显示。