1.一種基于行為特征的網絡攻擊檢測方法，其特征在于，包括：

步驟1：收集各類安全設備輸出的原始安全信息；并將所述原始安全信息轉換為統一格式的安全事件；所述安全事件至少包含事件產生時間字段、事件標識號字段、事件類型字段、源IP地址字段及目的IP地址字段；

步驟2：根據各個字段內容對所述安全事件進行分類；

步驟3：對源IP地址及目的IP地址均相同的且發生在同一次監測時期內的各類安全事件按照事件產生時間的先后順序進行排序得到安全事件組合；查找安全事件關聯規則庫中是否具有相同的安全事件組合，若具有則認為目的IP地址對應的主機遭受到攻擊并進行告警；若不具有則將這些安全事件存入關聯規則挖掘數據庫中；

其中，安全事件關聯規則庫是這樣生成及定期更新的：定期統計關聯規則挖掘數據庫內若干個源IP地址及目的IP地址均相同的不同類的安全事件在該統計時間內按照固定順序先后發生的次數；將次數大于設定閾值的安全事件組合作為新的安全事件關聯規則存入安全事件關聯規則庫中；清空關聯規則挖掘數據庫。

2.根據權利要求1所述的一種基于行為特征的網絡攻擊檢測方法，其特征在于，所述安全設備至少包括防火墻、入侵檢測系統、漏洞庫、殺毒軟件及主機監控系統。

3.根據權利要求1所述的一種基于行為特征的網絡攻擊檢測方法，其特征在于，所述安全事件的字段還包括：安全設備標識號、源端口、目的端口、網絡協議類型、優先級及可信度。

4.根據權利要求3所述的一種基于行為特征的網絡攻擊檢測方法，其特征在于，所述步驟1還包括合并冗余安全事件的步驟及去除錯誤的安全事件的步驟；

其中合并冗余安全事件的步驟包括：

步驟11：判斷兩個安全事件的事件標識號、安全設備標識號、事件類型、源IP地址、目的IP地址、源端口、目的端口及網絡協議類型是否均相同，若是則將這兩條安全事件的其他字段內容進行合并得到一條安全事件；合并的具體做法是：將兩條安全事件的優先級字段內容同時作為合并后安全事件的優先級；取兩條安全事件中較高的可信度為合并后安全事件的可信度；

去除錯誤的安全事件的步驟包括：

步驟12：首先檢測并得到某目標IP地址對應的主機的漏洞庫；然后將該目標IP地址的安全事件逐一與所述漏洞庫進行匹配，若匹配成功則將此安全事件的可信度置為最高值，否則將該目標IP地址的對應的主機的操作系統、軟件版本、端口及網絡協議與所述安全事件進行匹配，若匹配成功則將此安全事件的可信度增加，若依然不匹配則將該安全事件丟棄。

5.根據權利要求1所述的一種基于行為特征的網絡攻擊檢測方法，其特征在于，步驟2進一步包括：

將安全事件各個字段內容進行量化；

利用K-means聚類算法將已有的安全事件分為k類；

當有新的安全事件到來時，計算這條安全事件與原有各聚類中安全事件的相似度；如果新安全事件與某聚類安全事件的相似程度大于設定的經驗閥值，則將這一安全事件增加到該聚類當中；如果新安全事件與多個聚類的安全事件的相似程度都大于所述經驗閥值，那么將這些聚類合并為同一聚類，同時把新的安全事件加入其中；如果新安全事件與任何一個聚類的安全事件的相似程度都達不到所述經驗閥值，則將該安全事件創建為新的聚類。