1.基于網(wǎng)絡(luò)架構(gòu)的電力系統(tǒng)內(nèi)部APT攻擊檢測(cè)及預(yù)警系統(tǒng)，電力系統(tǒng)包括有用戶終端和系統(tǒng)服務(wù)器，多臺(tái)用戶終端與系統(tǒng)服務(wù)器相連，其特征在于：包括有用戶終端監(jiān)控子系統(tǒng)、服務(wù)器監(jiān)控子系統(tǒng)和云平臺(tái)管理子系統(tǒng)；

用戶終端監(jiān)控子系統(tǒng)，安裝在每臺(tái)用戶終端上，對(duì)用戶終端的郵件、便攜式移動(dòng)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控防護(hù)，對(duì)用戶終端的通信流量進(jìn)行監(jiān)控，并記錄和分析用戶的操作記錄日志，并將記錄的信息發(fā)送至云平臺(tái)管理子系統(tǒng)；

服務(wù)器監(jiān)控子系統(tǒng)，安裝在系統(tǒng)服務(wù)器上，用于監(jiān)控用戶權(quán)限和流量，對(duì)系統(tǒng)服務(wù)器進(jìn)行防護(hù)，并對(duì)系統(tǒng)服務(wù)器操作進(jìn)行記錄，生成日志文件，并將記錄的信息發(fā)送至云平臺(tái)管理子系統(tǒng)；

云平臺(tái)管理子系統(tǒng)，分別與每臺(tái)用戶終端和每臺(tái)系統(tǒng)服務(wù)器進(jìn)行信息交互，協(xié)調(diào)用戶終端和系統(tǒng)服務(wù)器的數(shù)據(jù)通信、存儲(chǔ)和計(jì)算功能，分析用戶終端監(jiān)控子系統(tǒng)和服務(wù)器監(jiān)控子系統(tǒng)上傳的信息文件，對(duì)APT攻擊進(jìn)行分析預(yù)警；

所述云平臺(tái)管理子系統(tǒng)針對(duì)APT攻擊的監(jiān)控信息包括有：

A)針對(duì)Web、郵件和傳輸文件信息；

B)針對(duì)文件進(jìn)行靜態(tài)分析和動(dòng)態(tài)運(yùn)行分析信息；

C)針對(duì)可以攻擊流量信息；

D)針對(duì)Web行為模型進(jìn)行建模和統(tǒng)計(jì)分析信息；

E)針對(duì)用戶活動(dòng)日志的分析信息；

所述云平臺(tái)管理子系統(tǒng)對(duì)APT攻擊進(jìn)行分析預(yù)警的方法包括有：

1)異常行為分析法；

2)漏洞挖掘法；

3)反向跟蹤法；

異常行為分析法的具體方法為：

1-1)針對(duì)通信流量采用抽樣檢測(cè)進(jìn)行監(jiān)控，檢測(cè)是否有異常數(shù)據(jù)包的外發(fā)，用于檢測(cè)數(shù)據(jù)是否被竊取外發(fā)；

1-2)對(duì)用戶權(quán)限進(jìn)行監(jiān)測(cè)，對(duì)各權(quán)限區(qū)域數(shù)據(jù)的訪問(wèn)的授權(quán)進(jìn)行驗(yàn)證，找出是否有非法訪問(wèn)、越權(quán)訪問(wèn)、權(quán)限變更；

1-3)對(duì)行為模式進(jìn)行監(jiān)測(cè)，根據(jù)用戶類型，對(duì)其權(quán)限內(nèi)的行為進(jìn)行建模，對(duì)于非模型行為進(jìn)行合理性判斷；

1-4)基于行為模式的異常檢測(cè)，將用戶權(quán)限內(nèi)的操作歸并，找出其中的規(guī)律并建立行為模式。

2.如權(quán)利要求1所述的基于網(wǎng)絡(luò)架構(gòu)的電力系統(tǒng)內(nèi)部APT攻擊檢測(cè)及預(yù)警系統(tǒng)，其特征在于，所述用戶終端監(jiān)控子系統(tǒng)包括有用戶終端防護(hù)模塊和用戶終端監(jiān)控模塊；

用戶終端防護(hù)模塊，對(duì)用戶終端的郵件和便攜式移動(dòng)設(shè)備進(jìn)行監(jiān)控并查殺病毒；

用戶終端監(jiān)控模塊包括有以下子模塊：

用戶終端設(shè)備管理子模塊，用于管理用戶終端安全設(shè)備的信息，實(shí)現(xiàn)對(duì)用戶終端安全設(shè)備的增加、刪除、修改和查詢；

用戶終端事件管理子模塊，用于實(shí)時(shí)顯示用戶終端的安全事件，查看各安全事件的詳細(xì)信息；所述安全事件包括有病毒信息、防火墻信息、防火墻日志信息、入侵檢測(cè)信息和用戶終端安全信息；

用戶終端告警管理子模塊，對(duì)安全事件進(jìn)行分析，生成圖形和文字的告警信息；

用戶終端報(bào)表管理子模塊，生成安全事件統(tǒng)計(jì)報(bào)表和設(shè)備信息報(bào)表；

用戶終端應(yīng)急管理子模塊，對(duì)用戶終端的軟件和硬件備份資源信息，快速定位備份資源信息，通過(guò)記錄安全告警信息的處理過(guò)程形成案件庫(kù)；

用戶終端系統(tǒng)管理子模塊，用于用戶終端系統(tǒng)基礎(chǔ)數(shù)據(jù)輸入、系統(tǒng)用戶管理和系統(tǒng)參數(shù)配置管理；

用戶終端工具管理子模塊，提供工具下載權(quán)限，包括有普通工具下載權(quán)限和管理員工具下載權(quán)限。

3.如權(quán)利要求2所述的基于網(wǎng)絡(luò)架構(gòu)的電力系統(tǒng)內(nèi)部APT攻擊檢測(cè)及預(yù)警系統(tǒng)，其特征在于：所述用戶終端采用多級(jí)部署管理，下級(jí)用戶終端監(jiān)控模塊將信息發(fā)送至上級(jí)用戶終端監(jiān)控模塊，上級(jí)用戶終端監(jiān)控模塊對(duì)下級(jí)用戶終端監(jiān)控模塊的數(shù)據(jù)進(jìn)行控制。