1.?一種基于場景的混合入侵檢測方法，其特征在于，包括以下步驟：

S1，入侵檢測系統根據訪問控制策略及相關應用場景信息，提取采集的審計數據的特征；

S2，根據審計數據的特征，應用組合的預報方法預報可疑入侵事件；?

S3，結合可疑入侵事件和告警關聯信息，確定入侵事件；

S4，如果有入侵事件發生，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示。

2.?根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于，所述相關應用場景信息是對系統當前狀態和功能的所有信息的描述；所述相關應用場景信息包括：

預定義場景，用于描述賦予訪問請求的操作所要滿足的條件；

請求結果場景，用于激活訪問請求的是接受或拒絕的行為；

中間場景，用于定義訪問請求的操作在執行過程中必須滿足的條件；

事后場景，用于定義訪問請求的操作執行后所要滿足的條件，并激活事后要執行的動作。

3.?根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于：所述訪問控制策略是對受保護目標的訪問請求的管理，該策略執行過程分為4個連續階段，每一個階段僅定義策略庫中特定的子集，每一個階段都有一個標示結果的狀態標志（即授權狀態），該標志包括授權（T:True）、未授權（F:False）和不確定（U:Uncertain）。

4.?根據權利要求2或3所述的一種基于場景的混合入侵檢測方法，其特征在于，所述策略執行過程包括：

訪問控制階段，開始于一個三元組的訪問請求命令，即訪問目標、訪問請求的操作和場景信息，執行系統通過系統調用來獲得與目標相聯系的安全策略，如果沒有發現相應的安全策略，則授權狀態被設置為F，訪問請求被拒絕；

授權核對階段，通過函數調用評估預定義場景和請求結果場景，得到相應的授權狀態；如果沒有發現預定義場景或中間場景，則授權狀態設為T；

執行控制階段，包括訪問請求操作的執行過程及執行控制過程狀態的判定，產生的結果存儲在執行狀態變量中；

事后響應階段，執行狀態被傳遞給事后響應函數，評估事后場景信息，評估結果存儲在相應的狀態變量中，如果未發現事后場景信息，其狀態變量直接被設置為T。

5.?根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于：審計數據即入侵檢測系統的輸入數據，其格式由入侵檢測系統所處網絡中的位置決定，包括RTU控制器、DCS/SCADA軟件、歷史數據庫、應用日志和IP數據包輸出數據。

6.?根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于：如果步驟S3不能完全確定可疑入侵事件為入侵事件，就將可疑入侵事件作為輔助度量請求，來激活動態可信度量模塊，驗證是否有入侵事件發生。

7.?根據權利要求1所述的一種基于場景的混合入侵檢測方法，其特征在于：安全管理平臺接收到報警信息后，確定報警級別，識別安全設備水平，對攻擊源進行跟蹤，將報警和審計記錄保存到日志文件中，并根據安全事件結果對安全數據庫、安全規則/策略進行更新。

8.?實現權利要求?1～7所述方法的一種基于場景的混合入侵檢測系統，其特征在于，包括入侵檢測系統和安全管理平臺；入侵檢測系統包括：

數據采集模塊，用于訪問請求操作開始時，采集審計數據；

入侵檢測模塊，用于分析采集的審計數據，檢測其是否是入侵事件；

通訊接口，用于入侵檢測模塊與數據采集模塊進行雙向通訊；

報警響應模塊，用于入侵事件發生時，入侵檢測系統生成報警信息，并發送給安全管理平臺進行可視化顯示；

和安全管理模塊，用于對預報方法進行組合調度，將訪問控制策略、預報方法、告警關聯信息發送給入侵檢測模塊，并將響應策略發送給報警響應模塊，接收報警相應模塊發送的安全更新信息；

安全管理平臺包括安全數據庫、通訊接口、數據調度及分析引擎和人機界面。