7.一種APT攻擊的告警裝置，包括：

獲取單元，獲取多個業務行為的數據，其中所述數據包括各業務行為的屬性信息；

確定單元，將所述多個業務行為中各業務行為的屬性信息與預定正常業務行為屬性信息進行對比，以確定各業務行為是正常業務行為或者異常業務行為；

建立單元，在所述多個業務行為中有至少一個異常業務行為的情況中為各個所述異常業務行為建立異常業務行為數據鏈，所述異常業務行為數據鏈包括與該異常業務行為相關聯的業務行為序列；

判斷單元，將每個所述異常業務行為數據鏈分別與預定APT攻擊判斷規則進行匹配，針對匹配度高于閾值的異常業務行為數據鏈發出APT攻擊告警；

各業務行為的屬性信息包括行為關聯信息，并且所述建立單元還被配置為：

針對每個異常業務行為，根據該異常業務行為前后一定時間段內各業務行為的屬性信息所包括的行為關聯信息來確定與該異常業務行為相關聯的業務行為，并將所確定的業務行為以及該異常業務行為按照行為時間順序形成該異常業務行為的異常業務行為數據鏈。