I DS则获取传感器的监控日志,生成攻击事件集;预处理模块提取攻击事件集的特定字段的信息,生成事件信息;事件检测模块根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型确定网络中的可疑服务器以及当前攻击阶段;攻击演化模块演化多个网络攻击下一攻击阶段的攻击方案;杀伤链识别模块确定各攻击方案是否为网络攻击。通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性