1.基于时间序列与IP地址的报警关联分析方法，其特征在于：包括：

基于OSSIM开源平台下搭建真实的报警数据采集环境，分别采集来源于网络的Snort报警数据和来源于主机的OSSEC报警数据；

对采集到的不同格式的报警数据进行属性筛选，再以统一的格式输出；

采用FCM算法结合MapReduce编程模型来实现多源报警数据并行融合计算；其中，所述FCM算法的初始聚类中心通过最大最小距离算法选取；

接收融合后的报警数据，定义五元组并结合启发式聚类的思想，构建出七种攻击场景；

对已知场景进行时间序列和IP地址的关联匹配，在原有的攻击场景的基础上，对攻击发生的时间先后、源IP地址和目标IP地址三者之间的因果关系进行分析，构建出更加全面的攻击场景；

分别在真实环境采集的报警数据和蜜罐攻击数据进行实验，并根据关联分析结果画出对应的攻击图。

2.根据权利要求1所述的基于时间序列与IP地址的报警关联分析方法，其特征在于：通过最大最小距离算法选取FCM算法的初始聚类中心，具体步骤包括：初始化θ的值，θ∈(0,1)，在所有数据样本点集合X＝{x1,x2,...,xn}中随机选取一个作为第一个聚类中心Z1，即Z1＝x1；

通过计算除x1以外的所有数据样本到Z1的距离，距离最大的作为第一个聚类中心Z2；

计算剩下的所以数据样本点到聚类中心Z1和Z2的距离，分别记为集合Di1和集合Di2。其中，Di1＝||xi-Z1||，Di2＝||xi-Z2||；

若Dl＝max{min(Di1,Di2)}，i＝1,2,...,n，同时满足条件Dl＞θ·D12，则取第三个聚类中心为Z3，Z3＝xl，D12为聚类中心Z1到聚类中心Z2的距离；

若Z3存在，则计算Dj＝max{min(Di1,Di2,Di3)}，i＝1,2,...,n，如果Dj＞θ·D12，则把Zj＝xj作为第四个聚类中心；依此类推，直到最大最小距离不大于θ·D12时或者聚类中心的个数等于预先设定的阈值，就结束聚类中心的寻找。

3.根据权利要求1所述的基于时间序列与IP地址的报警关联分析方法，其特征在于：所述报警数据采集环境由防火墙、内外网交换机以及5个主机关键节点组成，分别以nssa-server作为服务器节点，nssa-sensor1、nssa-sensor2、nssa-sensor3和nssa-sensor4作为从节点；服务器节点负责整个系统的管理与调度，从节点负责存储攻击数据和攻防交互，攻击手使用KailLinux从外部网络通过外网交换机和防火墙对内部局域网的多台主机不定时地发起不同的网络攻击。

4.根据权利要求1所述的基于时间序列与IP地址的报警关联分析方法，其特征在于：所述七种攻击场景具体包括：场景一：具有相同的攻击源IP地址、相同的目标IP地址和相同的攻击类别的攻击场景；

场景二：具有相同的攻击源IP地址和相同的目标IP地址的攻击场景；

场景三：具有相同的目标IP地址和相同的攻击类型的攻击场景；

场景四：具有相同的攻击源IP地址和相同的攻击类型的攻击场景；

场景五：具有相同的攻击源IP地址的攻击场景；

场景六：具有相同的目标IP地址的攻击场景；以及，

场景七：具有相同的攻击类型的攻击场景。

5.根据权利要求4所述的基于时间序列与IP地址的报警关联分析方法，其特征在于：对已知场景进行时间序列和IP地址的关联匹配，在原有的攻击场景的基础上，对攻击发生的时间先后、源IP地址和目标IP地址之间的因果关系进行分析，构建出更加全面的攻击场景，具体步骤包括：接收来自经过融合处理后的报警数据，并将其存放到文本文件，以便后续的数据读取；

根据启发式聚类划分场景的规则进行逐个场景匹配，当完成了场景一的构建时，把属于同一个攻击场景的报警数据放到一个新的文件，并记录下没有满足场景一规则的报警数据；

对没有满足场景一的报警数据进行场景二的规则匹配，把同属于场景二的报警数据放到一个新的文件中，并记录下没有满足场景二的报警数据，依此类推，直到完成七个场景的构建，并把没有满足场景规则的报警数据记录下来；

将所有攻击场景的报警数据按时间的先后顺序进行排序；

将未进行场景划分的报警数据和各个攻击场景进行时间与IP地址的匹配，若满足发生的时间先于已知场景且目标IP地址与已知攻击场景的源IP地址相同，则把该报警关联到场景之前，若报警发生的时间迟于已知场景的时间，且源IP地址与已知场景的目标IP地址相同，则把该报警关联到场景之后。