1.一种基于攻击场景构建的报警关联分析方法，其特征在于，包括将报警数据融合得到精简数据集；

基于动态时间窗口方法对精简数据集进行场景划分；

在划分好的场景的基础上，采用因果关联和格兰杰因果检验的报警关联方法对精简数据集进行关联分析，得到关联结果；

将关联结果进行可视化表达。

2.如权利要求1所述的一种基于攻击场景构建的报警关联分析方法，其特征在于，所述基于动态时间窗口方法对精简数据集进行场景划分的具体步骤是：S11对精简数据集按时间先后顺序进行排序；

S12把第一条报警数据作为第一个时间窗口的起点；

S13将第二条报警数据与第一条报警数据进行比较，若它们发生的时间差小于设定的时间窗口阈值，则将第二条报警数据分到第一时间窗口中；若时间差大于时间窗口阈值则结束当前窗口的报警划分，并以当前报警的时间点作为第二时间窗口的起点；

S14将第n条报警数据与第n‑1条报警数据进行S13步骤，直至所有数据处理完毕；

S15基于所有时间窗口生成场景。

3.如权利要求2所述的一种基于攻击场景构建的报警关联分析方法，其特征在于，在步骤S13和步骤S14之间，所述步骤还包括：在当前时间窗口，如果报警数据的数目大于预期数目，则增加时间窗口阈值；如果报警数据的数目小于预期数目，则减小时间窗口阈值。

4.如权利要求1所述的一种基于攻击场景构建的报警关联分析方法，其特征在于，所述在划分好的场景的基础上，采用因果关联和格兰杰因果检验的报警关联方法来对精简数据集进行关联分析，得到关联结果；的具体步骤是：依次读取划分好的场景，然后逐个提取场景中的报警数据；

对报警数据判断是否满足直接因果关系，如果满足则采用因果报警关联方法；否则采用GCT报警关联方法。

5.如权利要求4所述的一种基于攻击场景构建的报警关联分析方法，其特征在于，所述因果报警关联方法的具体步骤是：S21依照因果关系关联方法，将每个攻击场景中的报警数据按时间的先后顺序排序；

S22将排序序号为k的报警数据与同一攻击场景中第k条报警数据之后的所有报警数据进行匹配，在设置时间阈值内，若第k条报警数据的源IP、目标IP、源端口以及目的端口与同一场景中的序号为i的报警数据的源IP、目标IP、源端口以及目的端口相同，或者第k条报警数据的目标IP、目的端口号与同一场景中的序号为i的报警数据的源IP、源端口号相同，则将这两条报警数据关联起来，输入关联数据集；如果和场景中的所有数据都不匹配，则将报警数据输入未识别集；

S23对排序序号为k+1的报警数据执行步骤S22，直至攻击场景中的数据为空。

6.如权利要求5所述的一种基于攻击场景构建的报警关联分析方法，其特征在于，所述GCT报警关联方法的具体步骤是：S31将未识别集中的数据按时间的先后顺序排序；

S32对场景中的序号为j的报警数据，根据GCT关联方法，计算第j条报警数据与同一场景中之后所有报警数据的GCT指数，并且计算第j条报警数据与关联数据集中与它存在时间先后顺序的报警数据之间的GCT指数，如果得到的GCT指数满足因果关系的阈值范围，则表示这两条报警数据构成因果关系，并将它们关联起来输入关联数据集；否则将其输入孤立报警集；

S33对排序序号为j+1的报警数据执行步骤S32，直至未识别集中的数据为空。