CN103914649A - 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 - Google Patents

Abstract

本发明提供一种基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统，能够有效避免攻击场景图的分裂，完成完整的攻击场景图的重构，能够对后续攻击进行预测，实现攻击场景的融合，准确的为分析人员提供能够直接利用的警报信息。其分析处理方法，包括如下步骤：（1）构建攻击策略图，（2）攻击场景图重构，加入对漏报警报或者攻击者刻意漏掉的攻击环节的推断，并将推断结果作为推断警报加入到待关联警报集中，（3）后续攻击预测，（4）攻击场景图融合，将融合后的关联记录用图形表达后得到新攻击场景图；有效解决攻击场景图的分裂，提高分析准确性。一种入侵检测系统，用于根据分析处理方法对系统产生的警报进行安全事件的分析和处理。

Description

基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统

技术领域

本发明属于计算机网络入侵检测系统中的警报分析处理领域，具体是一种基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统。

背景技术

入侵检测系统（Intrusion Detection System，IDS）作为一种重要的网络攻击防范工具，得到了越来越广泛的应用。用户基于IDS产生的警报进行安全事件的检测和分析。然而，由于传统IDS产生的警报数量巨大，质量和层次较低，警报之间相互孤立，很难被安全分析人员直接有效的利用。因此，对警报进行关联分析以降低警报数量、提高警报质量，并进而重构攻击场景显得至关重要。

近年来，研究人员提出了多种不同类型的警报关联分析处理方法，其中的典型代表是Ning等人提出的基于因果关系的警报关联分析方法[Ning et al.,ACM CCS2002]。该方法为每一种攻击行为定义所需要的实施前提（即“因”）和攻击成功后可能导致的后果（即“果”），通过警报之间的因果关系匹配将原来彼此孤立的警报关联起来。此类方法在检测复杂的协同多步攻击和攻击场景重构上具有良好的效果。然而，该类方法仍然存在很多问题，尤其是对于网络中的某些实际发生的异常情况未作处理，导致最终的结果欠佳。考察以下两种情形：第一，攻击者未按照因果关系库中描述的攻击序列发动攻击，而是刻意漏掉攻击中的某些环节，比如，攻击者已经通过其他方法获得了目标主机的相关信息，因此不需要发动某些环节的攻击；第二，由于IDS特征码库中没有对应的条目，或者由于部署在高速网络中，IDS无法及时处理所有的数据包而导致漏报。这些情形都可能使得关联方法产生的关联图被破坏并分散为若干个子图，从而无法获取完整的攻击场景。现有解决方案大多是在警报关联完成之后再采用其他方法完成分散的场景图重构，如基于相似属性的聚类方法[Ning et al.,NDSS2004]。而为了提高警报匹配效率，现有解决方案大多为所有已处理的警报添加内存索引；但由于内存空间有限，在警报规模较大的情况下可行性较差。为此，有些方法采取滑动时间窗口机制，所有处在限定时间宽度内的警报被存储在一个按时间顺序排列的窗口中，当前警报只与处于窗口中的警报进行关联分析。这种方法在提高系统运行效率的同时也带来了问题，即系统无法关联时间跨度超过滑动时间窗口范围的警报，而复杂的多步协同攻击往往时间跨度较大。Wang等人提出了了基于队列图的方法[Wang et al.,Journal of Computer Communications2006]，这种方法只“显式关联”对应漏洞最新的一条警报，具有较高的效率，但同样会对关联结果的精确性产生影响。

发明内容

针对现有技术中存在的问题，本发明提供一种基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统，能够有效避免攻击场景图的分裂，完成完整的攻击场景图的重构，能够对后续攻击进行预测，实现攻击场景的融合，准确的为分析人员提供能够直接利用的警报信息。

本发明是通过以下技术方案来实现：

基于攻击策略图的实时警报综合分析处理方法，包括如下步骤：

（1）构建攻击策略图：

1a）定义原子攻击类型、约束条件、策略图节点信息，警报是属性实例化之后的原子攻击类型；

1b）根据策略图节点信息，以原子攻击类型为节点，匹配原子攻击类型的因果条件完成攻击策略图的构建；

（2）攻击场景图重构：

2a）确定每个原子攻击类型所维持的一个滑动窗口中的最大警报数量和时间宽度；

2b）查询当前警报在策略图中的入度节点集，遍历对节点集中每个节点对应的滑动窗口，检查当前警报与滑动窗口中警报属性是否满足相应约束关系，进而找到能够关联的警报，并将能够关联的警报和当前警报作为一条关联记录保存，执行步骤2c）；当前警报未能与其他警报关联时执行步骤2d）；

2c）将当前警报放入到相应原子攻击类型的滑动窗口中，超出滑动窗口警报数量或时间宽度，则将窗口末端的若干警报剔出，若未超出，则对窗口末端的若干警报进行保留；

2d）根据对应攻击策略图中节点的入度节点集推断可能的漏报攻击；然后根据计算机系统信息或计算机网络信息进行过滤，最后根据当前警报属性及其余推断警报之间的约束条件推断漏报攻击的属性信息，最终得到推断警报，并将该推断警报与当前警报作为一条关联记录保存，并对所述推断警报重复步骤2b）；若无法根据攻击策略图得到推断警报，则终止推断；

2e）将步骤2b）和2d）中得到的所有关联记录用图形表达后完成攻击场景图的重构；

（3）后续攻击预测：

搜寻当前警报对应的原子类型攻击在攻击策略图中的出度节点集，然后根据计算机系统信息或计算机网络信息对出度节点集内的节点相应攻击发生的可能性进行评估，剔除攻击发生的可能性小于设定预定阈值的节点，获得最优的出度节点集，并记录保存对应的关联记录；

（4）攻击场景图融合：

将步骤（2）得到的关联记录的结果集合和（3）得到的关联记录的结果集合合并得到当前所有关联警报记录，然后在所有关联警报记录中进行两两记录的信息一致性判断，反应信息一致的关联警报记录进行融合，并用一条融合警报取代原始警报记录，将融合后的关联记录用图形表达后得到新攻击场景图。

优选的，步骤1a）中原子攻击类型定义为：（AAttack，Require，Provide），其中，AAttack是原子攻击名称，唯一标识原子攻击类型；Require和Provide均由一系列谓词组成，Require表示实施该攻击所需的条件集，Provide表示完成此攻击后所能达到的效果集。

进一步，每个原子攻击类型都对应一个属性集，属性集包括如下属性参数：攻击源IP地址SrcIP，攻击源端口地址SrcPort，目的IP地址DstIP，目的端口地址DstPort，攻击时刻Time和探针的标识符SensorID。

优选的，步骤1a）中约束条件表示如下：

C(A，B)=C₁(A，B)∪C₂(A，B)∪…∪C_n(A，B)；

其中，C_i(A，B)是两种不同原子攻击类型A和原子攻击类型B的属性的逻辑表达式，i=1，2，…n，C(A，B)是A和B之间的约束条件。

优选的，步骤（2）中所述的滑动窗口仅用于存储每个原子攻击类型的警报；滑动窗口中设置有一个窗口信息单元，记录当前滑动窗口中警报数量及时间宽度；当新产生的警报处理完成后放入到相应窗口之后，访问信息单元以确定是否有警报出列，是则将窗口末尾处超出的警报剔除出列，否则直接执行插入窗口操作。

进一步，步骤（3）中，具体过程如下：

3a）查询当前警报在攻击策略图中的出度节点集，对出度节点集中每个节点都对应一种可能发生的后续攻击类型，然后对每个后续攻击类型依次执行步骤3b）和步骤3c）；

3b）根据当前警报属性与后续攻击属性所需满足的约束条件得到方程，已知当前警报属性，求解方程得到后续攻击属性；

3c）根据计算机系统信息或计算机网络信息对后续攻击发生的可能性进行评估，剔除攻击发生的可能性小于设定预定阈值的节点，获得最优的出度节点集。

优选的，步骤（4）中，通过用一条警报关联记录代替一簇互为可融合警报关联记录，以完成攻击场景图的融合；并在对两两关联警报记录进行一致性判断时，对比如下两个方面并满足条件的为能够融合的记录：一是记录中两个警报对应的攻击，其攻击类型都相同；二是记录中两个警报对应的攻击，其属性都相同。

进一步，融合记录的时间通过取一簇互为可融合警报关联记录中的警报产生的最小时间和最大时间值获得；以最大时间作为融合警报关联记录中的后项的发生时间，最小时间作为记录中前项的发生时间。

本发明一种入侵检测系统，该系统用于根据以上任意一种技术方案所述的基于攻击策略图的实时警报综合分析处理方法对系统产生的警报进行安全事件的分析和处理。

进一步，该系统包括用于检测入侵信号并发出警报的装置，用于根据攻击策略图进行攻击场景图重构的装置，用于根据攻击策略图进行后续攻击预测的装置，用于根据攻击策略图并结合重构的攻击场景和预测的后续攻击进行场景图融合的装置，用于存储融合后得到的攻击场景图的装置。

与现有技术相比，本发明具有以下有益的技术效果：

本发明所述方法在实时警报关联时加入对漏报警报或者攻击者刻意漏掉的攻击环节的推断，并将推断结果作为推断警报加入到待关联警报集中，从而有效解决攻击场景图的分裂问题，完成完整攻击场景图的重构，而不是在警报关联结束后再结合其他技术方法解决场景图分散问题，提高了对警报分析的准确性。

本发明所述的方法通过提出的新型滑动窗口机制，为每一种类型的攻击设置一个滑动窗口，窗口的大小同时取决于时间和警报数量，克服了现有技术中单一类型时间窗口无法应对缓慢攻击的情形。通过新型滑动窗口机制为每一种攻击类型设置滑动窗口，相当于对警报进行了分类，即不同类型的警报存储在不同窗口中，使得警报分析效率与总体警报数量无直接关系，警报处理在线性时间内即可完成，保证了系统的实际可用性，提高了处理效率，适于处理较大规模的警报数据。

本发明所述方法通过引入后续攻击预测的步骤，从而能够实现对报警数据的全面挖掘。后续攻击预测步骤的引入，可以有效的帮助安全分析人员对入侵进行预判并及时采取有效应对措施。通过对分析结果集内的警报记录进行融合，并用融合警报记录取代原始记录，实现无信息丢失的警报分析结果压缩，使得攻击场景更简明清晰，能够更及时的对复杂协同攻击行为采取有效措施。

附图说明

图1为本发明所述方法的警报分析处理流程图。

图2为本发明所述方法中构建攻击策略图的步骤的示例图，图中X、Y分别代表其他原子攻击类型。

图3为本发明所述方法中攻击场景图重构步骤中漏报推断的示意图。

图4为本发明中应用于麻省理工学院林肯实验室DARPA数据集2000场景1内网1（MIT Lincoln Laboratory DARPA Data Sets2000LLDOS1.0,inside1）的分析结果图。

图5为本发明所述方法应用于由922条警报组成的数据集的效率曲线。

图6为本发明所述方法应用于由5443条警报组成的数据集的效率曲线。

具体实施方式

下面结合具体的实施例对本发明做进一步的详细说明，所述是对本发明的解释而不是限定。

本发明所述的基于攻击策略图的实时警报综合分析处理方法，如图1所示，包括如下步骤。

步骤1，攻击策略图的创建。

攻击策略图（Attack Strategy Graph，ASG）是一种有向无环图，本发明用它表示攻击的先验知识，即攻击之间的因果关系；为了构建ASG，首先定义了原子攻击类型以扩展并结构化原始的警报信息，然后进行攻击策略图的构建。

定义1原子攻击类型（Atomic Attack Type，AAType），AAType定义为：（AAttack,Require,Provide）。

其中，AAttack是原子攻击名称，唯一标识原子攻击类型；Require、Provide均由一系列谓词组成，前者表示实施该攻击所需的条件集，后者表示完成此攻击后所能达到的效果集。原子攻击类型构成攻击策略图中的节点。每个原子攻击类型都对应一个属性集（SrcIP,SrcPort,DstIP,DstPort,Time,SensorID），警报是属性实例化之后的原子攻击类型。

定义2约束条件（Constraints）。

假设有原子攻击类型A、B，则A、B之间的约束条件可以表示为：

C(A，B)=C₁(A，B)∪C₂(A，B)∪…∪Cn(A，B)

其中C_i(A，B)(i=1，2，…n)是A和B的属性的逻辑表达式，该表达式在攻击策略图构建过程中得出。只有警报的属性满足相应约束条件，才能进行相互关联。

定义3策略图节点信息（Attack Strategy Graph Node，ASG_Node），ASG_Node定义为：（Indeg，Outdeg）。

其中，Indeg是该策略图节点的所有入度节点组成的节点集合，Outdeg是该策略图节点的所有出度节点组成的节点集合。

构建攻击策略图的具体方法如下：

假设对于原子攻击类型A，其类型描述为（A，R(A)，P(A)），其中R(A)为实施A类攻击所需的条件集合，P(A)为完成A类攻击所得到的效果集合。对于任意两个原子攻击类型A、B，如果且，其中^P={p₁,p₂,...,p_n}，使得p₁∨p₂∨...∨p_n→r，则有A→B关系成立。此时，将A添加到B节点的Indeg集，同时将B添加到A的Outdeg集，并计算出A和B的属性之间需要满足的约束条件。

结合图2进一步说明上述构建方法。

图2为部分攻击策略图，图中分别以A、B代替有向边的始点和终点。考察原子攻击类型Email_Almail_Overflow（简记为EAO）和Rsh。若EAO攻击成功，攻击者可获得目标主机操作权限，即GainAccess(DstIP)。而发动原子攻击Rsh所需条件为GainAccess(SrcIP)ΛGainAccess(DstIP)。

显然，当且仅当二者的相关属性满足约束条件：EAO.DstIP=Rsh.DstIP||EAO.DstIP=Rsh.SrcIP，二者满足匹配条件，p(EAO)→r(Rsh)成立，形成一条攻击策略记录。此时，可将EAO加入到Rsh原子攻击类型的Indeg集，同时将Rsh加入到EAO的Outdeg集。重复上述步骤可完成攻击策略图的创建。

步骤2，攻击场景图的重构。

第一步：结合警报处理的等级需求、出现频率、对应攻击特点确定每个原子攻击类型的滑动窗口最大警报数量和时间宽度，并记录到相应窗口的窗口信息单元中；

第二步：当一个新警报产生并被传送到警报分析系统时，首先通过当前警报AAType找到对应的ASG_Node信息，读取其中Indeg域所包含的节点集。然后，系统针对节点集中每一个节点，依次遍历相应滑动窗口中的内容，根据约束条件确定可关联警报，产生警报关联记录并存储。最后，将当前警报放入到滑动窗口中，完成本条警报的处理。

第三步：对于在第二步中未能与任何警报关联的警报，引入推断警报。以下结合图3说明漏报推断的具体方法。图中可见，攻击者通过发动从AAT1类型到AAT7类型的一系列攻击，以达到攻击目的。假设攻击期间，警报Alert1、Alert4、Alert5、Alert6和Alert7依次产生，而Alert2和Alert3则被攻击者刻意漏掉或者被IDS漏报。由此造成的结果是：在相应约束条件都得到满足的情况下，Alert1和Alert4被关联起来形成一个攻击场景，而Alert5、Alert6和Alert7则形成另一个攻击场景。然而，从策略图中可以清晰的看出这些警报应属于同一个攻击场景，只是因为Alert2、Alert3的漏报而被分裂。同时，由于Alert2、Alert3警报的缺失，对Alert5（对应的原子攻击类型为AAT5）分析处理时无法与任何警报关联。

考察Alert5，其ASG_Node中的Indeg={AAT2，AAT3}。取AAT2、AAT3为可能漏报攻击类型来构造推断警报HAlert2和HAlert3。根据约束条件C(1,2)∩C(2,5)=1、C(1,3)∩C(3,5)=1同时成立，计算出HAlert2和HAlert3的可能属性值，从而完成对警报Alert5的漏报推断。得到推断警报HAlert2与HAlert3后，将其与已有警报集中的警报进行关联，将关联记录添加到结果中。

须指出，假设已有警报中有Alert2而无Alert3，由于推断会同时产生HAlert2和HAlert3，则产生两对两两等价的关联记录，分别是（Alert1，Alert2）和（Alert1，HAlert2）、（HAlert2，Alert5）和（Alert2，Alert5）。这种情况在步骤4中进一步处理。

其中，本方法对现有的滑动窗口技术进行了改进，采用了一种新型滑动窗口。通过每一个攻击类型维持一个滑动窗口，使其仅用于存储本类型警报。同时，基于警报数量与时间跨度相结合的方式确定每一个滑动窗口的大小，保证在不影响警报分析效率的基础上，一定程度上降低缓慢攻击对警报关联分析效果的影响。另外，窗口中有一个窗口信息单元，记录当前滑动窗口中警报数量及时间宽度。新产生的警报处理完成后，需要访问上述信息单元以确定是否有警报出列，否则直接执行插入窗口操作。

步骤3，后续攻击预测。

本发明所述方法不仅可以预测后续可能发生攻击类型，同时也可以得出后续攻击相关属性的预测。具体通过搜寻当前警报原子类型攻击节点信息的Outdeg来实现。理论上，该节点集内的所有原子攻击，已然具备了被发动的条件，从而可以加入到当前警报的后续攻击备选节点集内，顺着Outdeg的方向向后遍历，也可对后续攻击进行多步预测。

结合说明书附图3说明如下：

当前警报为AAT1类型警报Alert1，而AAT1的Outdeg节点集为{AAT2，AAT3，AAT4}，则首先将{AAT2，AAT3，AAT4}加入到当前警报Alert1的后续攻击节点集内，得到推测警报Alert2、Alert3和Alert4，并根据相关约束条件C(1，2)=1、C(1，3)=1和C(1，4)=1同时成立，可得出后续推测警报的相关属性信息。最后，根据计算机系统信息或计算机网络信息，系统信息例如相应主机系统的类型、是否存在可以被攻击的漏洞；对节点集内的节点相应攻击发生的可能性进行评估，剔除攻击发生的可能性小于设定阈值的节点，获得最优的节点集。

步骤4，攻击场景图融合。

为了完成实时攻击场景图的整体重构，本发明所述方法将推断警报引入到了警报关联，这可能导致关联结果的冗余。此外，观察并分析警报关联记录结果发现，对于大规模的攻击，关联后的攻击场景图一般都包含冗余信息。本发明所述方法通过对警报关联记录进行融合，并用融合关联记录取代原始记录，以实现无信息丢失的分析结果压缩，得到更为清晰的攻击场景。在进行结果集合合并后的一致性判断时，需要比对两两关联记录中两个警报对应攻击信息的两个方面，一是记录中两个警报对应的攻击，其攻击类型都相同；二是记录中两个警报对应的攻击，其属性都相同。一致性判断满足要求的为能够融合的记录；其中关联记录中两个警报是有序的，如（ALERT1，ALERT2）与（ALERT2，ALERT1）就不是同一条记录，不能融合。

假设有警报关联记录Alert1→Alert2，其中涉及到Alert1、Alert2对应的属性，包括源、目的主机（SrcIP1，DstIP1）、（SrcIP2，DstIP2），以及警报产生时间（time1）、（time2）。该记录表示攻击者从SrcIP1向DstIP1发起AAT1的攻击，接着从SrcIP2向DstIP2发起AAT2的攻击，且属性满足C(Alert1，Alert2)。所有可以反映上述除时间信息的多条警报关联记录是互为可融合的警报关联记录，这些截至当前时间的所有彼此满足相互可融合关系的所有关联记录形成的一个集合为一簇，并用一条警报关联记录代替一簇互为可融合警报关联记录，称为融合警报关联记录。并且融合记录的时间是一个时间范围，通过取一簇互为可融合警报关联记录中的最小时间和最大时间值获得。

本发明的效果可通过以下实验进一步说明：

1）实验条件

实验条件为VMWare安装Windows XP专业版客户机系统，分配2G RAM空间，处理器为Intel I5-2400，主频3.10GHz，系统采用C++语言实现。

2）实验内容

采用MIT林肯实验室DARPA2000数据集（MIT Lincoln LaboratoryDARPA Data Sets2000LLDOS1.0）和入侵检测系统Realsecure对本发明的警报综合分析方法进行有效性和效率两方面测试。另外，为了测试攻击场景图重构功能，我们在系统测试时删除了内网中的原子攻击类型为Rsh且同时涉及主机172.016.115.020和202.077.162.213的警报。

3）结果分析

有效性测试结果见图4。阴影标识部分，右下角为预测警报、其余为推断警报。推断警报的引入使我们成功得到了完整的攻击场景图，预测警报指出了攻击者后续可能发动的攻击，最后通过场景图融合本发明产生了清晰的攻击场景脉络。从实验结果可以看出，本发明所述的方法解决了由于漏报或刻意漏掉攻击环节而带来的分散问题，完成了后续警报的预测，实现了无信息损失的场景图压缩。

处理效率见图5和图6，两次处理是在除不同数据规模以外的同等条件下进行的，其中图5为较小规模警报集的分析处理效率，其所示曲线的平均处理时间约为3.00108毫秒；图6为较大规模警报集的分析处理效率，其所示曲线的平均警报处理时间约为5.75284毫秒；能够得出平均时间随着警报集数量的增加并没有较大上升。其中极少数警报处理时间较长，是由于极少数原子攻击类型在攻击场景图中的Indeg集内包含的节点数量较大造成的。可见本发明能够实时有效处理较大规模的警报数据。

Claims (10)

1.基于攻击策略图的实时警报综合分析处理方法，其特征在于，包括如下步骤：

（1）构建攻击策略图：

1a）定义原子攻击类型、约束条件、策略图节点信息，警报是属性实例化之后的原子攻击类型；

1b）根据策略图节点信息，以原子攻击类型为节点，匹配原子攻击类型的因果条件完成攻击策略图的构建；

（2）攻击场景图重构：

2a）确定每个原子攻击类型所维持的一个滑动窗口中的最大警报数量和时间宽度；

2b）查询当前警报在策略图中的入度节点集，遍历对节点集中每个节点对应的滑动窗口，检查当前警报与滑动窗口中警报属性是否满足相应约束关系，进而找到能够关联的警报，并将能够关联的警报和当前警报作为一条关联记录保存，执行步骤2c）；当前警报未能与其他警报关联时执行步骤2d）；

2c）将当前警报放入到相应原子攻击类型的滑动窗口中，超出滑动窗口警报数量或时间宽度，则将窗口末端的若干警报剔出，若未超出，则对窗口末端的若干警报进行保留；

2d）根据对应攻击策略图中节点的入度节点集推断可能的漏报攻击；然后根据计算机系统信息或计算机网络信息进行过滤，最后根据当前警报属性及其余推断警报之间的约束条件推断漏报攻击的属性信息，最终得到推断警报，并将该推断警报与当前警报作为一条关联记录保存，并对所述推断警报重复步骤2b）；若无法根据攻击策略图得到推断警报，则终止推断；

2e）将步骤2b）和2d）中得到的所有关联记录用图形表达后完成攻击场景图的重构；

（3）后续攻击预测：

搜寻当前警报对应的原子类型攻击在攻击策略图中的出度节点集，然后根据计算机系统信息或计算机网络信息对出度节点集内的节点相应攻击发生的可能性进行评估，剔除攻击发生的可能性小于设定预定阈值的节点，获得最优的出度节点集，并记录保存对应的关联记录；

（4）攻击场景图融合：

将步骤（2）得到的关联记录的结果集合和（3）得到的关联记录的结果集合合并得到当前所有关联警报记录，然后在所有关联警报记录中进行两两记录的信息一致性判断，反应信息一致的关联警报记录进行融合，并用一条融合警报取代原始警报记录，将融合后的关联记录用图形表达后得到新攻击场景图。

2.根据权利要求1所述的基于攻击策略图的实时警报综合分析处理方法，其特征在于，步骤1a）中原子攻击类型定义为：（AAttack，Require，Provide），其中，AAttack是原子攻击名称，唯一标识原子攻击类型；Require和Provide均由一系列谓词组成，Require表示实施该攻击所需的条件集，Provide表示完成此攻击后所能达到的效果集。

3.根据权利要求1或2所述的于攻击策略图的实时警报综合分析处理方法，其特征在于，每个原子攻击类型都对应一个属性集，属性集包括如下属性参数：攻击源IP地址SrcIP，攻击源端口地址SrcPort，目的IP地址DstIP，目的端口地址DstPort，攻击时刻Time和探针的标识符SensorID。

4.据权利要求1所述的于攻击策略图的实时警报综合分析处理方法，其特征在于，步骤1a）中约束条件表示如下：

C(A，B)=C₁(A，B)∪C₂(A，B)∪…∪C_n(A，B)；

其中，C_i(A，B)是两种不同原子攻击类型A和原子攻击类型B的属性的逻辑表达式，i=1，2，…n；C(A，B)是A和B之间的约束条件。

5.据权利要求1所述的于攻击策略图的实时警报综合分析处理方法，其特征在于，步骤（2）中所述的滑动窗口仅用于存储每个原子攻击类型的警报；滑动窗口中设置有一个窗口信息单元，记录当前滑动窗口中警报数量及时间宽度；当新产生的警报处理完成后放入到相应窗口之后，访问信息单元以确定是否有警报出列，是则将窗口末尾处超出的警报剔除出列，否则直接执行插入窗口操作。

6.据权利要求1或5所述的于攻击策略图的实时警报综合分析处理方法，其特征在于，步骤（3）中，具体过程如下：

3a）查询当前警报在攻击策略图中的出度节点集，对出度节点集中每个节点都对应一种可能发生的后续攻击类型，然后对每个后续攻击类型依次执行步骤3b）和步骤3c）；

3b）根据当前警报属性与后续攻击属性所需满足的约束条件得到方程，已知当前警报属性，求解方程得到后续攻击属性；

3c）根据计算机系统信息或计算机网络信息对后续攻击发生的可能性进行评估，剔除攻击发生的可能性小于设定预定阈值的节点，获得最优的出度节点集。

7.根据权利要求1所述的于攻击策略图的实时警报综合分析处理方法，其特征在于，步骤（4）中，通过用一条警报关联记录代替一簇互为可融合警报关联记录，以完成攻击场景图的融合；并在对两两关联警报记录进行一致性判断时，对比如下两个方面并满足条件的为能够融合的记录：一是记录中两个警报对应的攻击，其攻击类型都相同；二是记录中两个警报对应的攻击，其属性都相同。

8.根据权利要求7所述的于攻击策略图的实时警报综合分析处理方法，其特征在于，融合记录的时间通过取一簇互为可融合警报关联记录中的警报产生的最小时间和最大时间值获得；以最大时间作为融合警报关联记录中的后项的发生时间，最小时间作为记录中前项的发生时间。

9.一种入侵检测系统，其特征在于，该系统用于根据权利要求1-8中任意一项权利要求所述的基于攻击策略图的实时警报综合分析处理方法对系统产生的警报进行安全事件的分析和处理。

10.根据权利要求9所述的一种入侵检测系统，其特征在于，包括用于检测入侵信号并发出警报的装置，用于根据攻击策略图进行攻击场景图重构的装置，用于根据攻击策略图进行后续攻击预测的装置，用于根据攻击策略图并结合重构的攻击场景和预测的后续攻击进行场景图融合的装置，用于存储融合后得到的攻击场景图的装置。