本发明公开了一种针对企业内网安全的及时因果分析方法、系统及介质，方法为：内核审计从企业内网各主机操作系统中检索获取系统事件，经数据流处理平台后存入事件数据库；使用参考模型构建器量化系统事件稀有性得到参考分数；将系统事件及其参考分数保存到参考数据库；当有系统事件触发警报时，使用因果关系追踪器启动依赖性分析，追溯行程依赖关系图：因果关系追踪器从事件数据库中搜索相关系统事件，并查询参考数据库获取对应参考分数；基于参考分数计算对应优先级分数，优先分析优先级分数高的系统事件得到依赖关系图。本发明通过量化系统事件稀有性计算优先级分数，加快系统事件的搜索效率，自动调查企业内网安全异常因果依赖关系。