规则引擎由基于规则的专家系统中的推理引擎发展而来,其应用领域已经日益广泛。Drools是一种使用规则库来实现专家系统的Java规则引擎,属于产生式规则系统,其模式匹配过程对事实(数据)与产生式规则作匹配,推理出会产生动作的结论。优点在于可以将逻辑与应用分离,当应用程序的需求发生改变时,可以更方便的更改其逻辑层。本文提出一种安全事件回放的分析方法,基于Drools规则引擎对安全监控系统产生的海量警报信息进行压缩,对操作(攻击)过程进行回放。首先讨论了专家系统以及Drools规则引擎的相关技术。然后在设计环节给出了安全事件回放的概念,并采用事件序列的方法进行因果关联分析以及采用泛型编程进行事件分类,建立了系统的整体通用模型和关联分析模型。研究的重点在于规则推理的详细设计策略和关键技术的解决策略,整个设计思想具有可移植性,适用于多种安全监测系统。最后,在主机监控与安全审计系统中实现了事件回放功能,移动存储监控类事件的回放结果表明,警报信息数量的压缩率在9.898%以上,并且对这类监控中可能发生的操作(攻击)过程成功地实现了事件回放。