1.一種APT攻擊行為的檢測方法，其特征在于，采用方式一、方式二、方式三中的至少兩種方式檢測待檢測對象是否存在攻擊行為；

所述方式一包括：通過預設的特征知識庫檢測待檢測對象是否存在攻擊行為，所述特征知識庫包括若干個預設的APT攻擊規(guī)則，若所述特征知識庫中存在與所述待檢測對象相匹配的APT攻擊規(guī)則，則判斷所述待檢測對象存在攻擊行為；

所述方式二包括：通過預設的黑名單檢測所述待檢測對象是否存在攻擊行為，所述預設的黑名單包括若干個預設的身份信息，若所述待檢測對象的身份信息與所述黑名單中任意身份信息相匹配，則判斷所述待檢測對象存在攻擊行為；

所述方式三包括：對所述待檢測對象進行反編譯，檢測所述待檢測對象是否具有shellcode特征，若具有shellcode特征，則判斷所述待檢測對象存在攻擊行為，若不具有shellcode特征，則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進行虛擬執(zhí)行，檢測所述待檢測對象在進行所述虛擬執(zhí)行的過程中是否具有惡意行為，若具有惡意行為，則判斷所述待檢測對象存在攻擊行為。

2.根據(jù)權利要求1所述的APT攻擊行為的檢測方法，其特征在于，所述方式二還包括：通過預設的白名單判斷所述待檢測對象是否不具有攻擊行為，所述白名單包括若干個預設的身份信息，若所述待檢測對象的身份信息與所述白名單中任意身份信息相匹配，則判斷所述待檢測對象不存在攻擊行為。

3.根據(jù)權利要求2所述的APT攻擊行為的檢測方法，其特征在于，首先采用方式一判斷所述待檢測對象是否存在攻擊行為，若未檢測到所述待檢測對象存在攻擊行為，則采用方式二判斷所述待檢測對象是否存在攻擊行為，若所述黑名單以及所述白名單中均不存在與所述待檢測對象相匹配的身份信息，再采用方式三判斷所述待檢測對象是否存在攻擊行為。

4.根據(jù)權利要求3所述的APT攻擊行為的檢測方法，其特征在于，還包括：若所述待檢測對象具有所述shellcode特征，則將所述待檢測對象的身份信息加入所述黑名單。

5.根據(jù)權利要求3所述的APT攻擊行為的檢測方法，其特征在于，還包括：若所述待檢測對象在進行所述虛擬執(zhí)行的過程中具有惡意行為，則將所述待檢測對象的身份信息加入所述黑名單，若所述待檢測對象在進行所述虛擬執(zhí)行的過程中不具有惡意行為，則將所述待檢測對象的身份信息加入所述白名單。

6.一種APT攻擊行為的檢測系統(tǒng)，其特征在于，包括第一檢測模塊、第二檢測模塊、第三檢測模塊中的至少兩種檢測模塊，所述檢測系統(tǒng)通過所述至少兩種檢測模塊檢測待檢測對象是否存在攻擊行為；

所述第一檢測模塊用于通過預設的特征知識庫檢測待檢測對象是否存在攻擊行為，所述特征知識庫包括若干個預設的APT攻擊規(guī)則，若所述特征知識庫中存在與所述待檢測對象相匹配的APT攻擊規(guī)則，則判斷所述待檢測對象存在攻擊行為；

所述第二檢測模塊用于通過預設的黑名單檢測所述待檢測對象是否存在攻擊行為，所述預設的黑名單包括若干個預設的身份信息，若所述待檢測對象的身份信息與所述黑名單中任意身份信息相匹配，則判斷所述待檢測對象存在攻擊行為；

所述第三檢測模塊用于對所述待檢測對象進行反編譯，檢測所述待檢測對象是否具有shellcode特征，若具有shellcode特征，則判斷所述待檢測對象存在攻擊行為，若不具有shellcode特征，則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進行虛擬執(zhí)行，檢測所述待檢測對象在進行所述虛擬執(zhí)行的過程中是否具有惡意行為，若具有惡意行為，則判斷所述待檢測對象存在攻擊行為。

7.根據(jù)權利要求6所述的APT攻擊行為的檢測系統(tǒng)，其特征在于，所述第二檢測模塊還用于通過預設的白名單判斷所述待檢測對象是否不具有攻擊行為，所述白名單包括若干個預設的身份信息，若所述待檢測對象的身份信息與所述白名單中任意身份信息相匹配，則判斷所述待檢測對象不存在攻擊行為。

8.根據(jù)權利要求7所述的APT攻擊行為的檢測系統(tǒng)，其特征在于，首先通過第一檢測模塊判斷所述待檢測對象是否存在攻擊行為，若未檢測到所述待檢測對象存在攻擊行為，則通過第二檢測模塊判斷所述待檢測對象是否存在攻擊行為，若所述黑名單以及所述白名單中均不存在與所述待檢測對象相匹配的身份信息，再通過第三檢測模塊判斷所述待檢測對象是否存在攻擊行為。