1.一種APT攻擊檢測系統(tǒng)，其特征在于，包括若干個前端檢測子系統(tǒng)，分析中心以及后臺處理子系統(tǒng)，所述前端檢測子系統(tǒng)可部署在任意網(wǎng)絡(luò)位置，包括網(wǎng)絡(luò)出口或其他重要鏈路；所述分析中心以及后臺處理子系統(tǒng)部署在機房服務(wù)器中，所述前端檢測子系統(tǒng)與所述分析中心通過內(nèi)部網(wǎng)絡(luò)相連接，所述后臺處理子系統(tǒng)僅與所述分析中心通過網(wǎng)絡(luò)相連接，

所述前端檢測子系統(tǒng)用于從數(shù)據(jù)流中提取可疑文件或樣本，并發(fā)送往所述分析中心，同時根據(jù)安全策略進行攔截或防御；

所述分析中心用于匯總可疑文件或樣本，并發(fā)送往所述后臺處理子系統(tǒng)進行檢測；

所述后臺處理子系統(tǒng)用于對可疑文件或樣本進行檢測，提取惡意行為特征，生成安全檢測報告，形成安全防御策略，

所述APT攻擊檢測系統(tǒng)的實現(xiàn)，包括以下步驟：

S1：將若干個前端檢測子系統(tǒng)分別布置在網(wǎng)絡(luò)出入口或其他重要鏈路；

S2：將分析中心和后臺處理子系統(tǒng)部署在用戶的核心機房；

S3：在所有前端檢測子系統(tǒng)與分析中心之間建立內(nèi)部網(wǎng)絡(luò)連接；

S4：在分析中心與后臺處理子系統(tǒng)之間建立內(nèi)部網(wǎng)絡(luò)連接；

S5：前端檢測子系統(tǒng)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流并從中提取出可疑文件，并通過內(nèi)部網(wǎng)絡(luò)將可疑文件發(fā)送到分析中心；

S6：所述分析中心對可疑文件或行為進行預(yù)檢測，如果預(yù)檢測結(jié)果無法辨別出可疑文件或行為的性質(zhì)，則發(fā)送至后臺處理子系統(tǒng)；

S7：后臺處理子系統(tǒng)對可疑文件或行為進行深度檢測，提取惡意文件或行為的特征，生成安全檢測報告，形成安全策略并發(fā)送至前端檢測子系統(tǒng)；

S8：前端檢測子系統(tǒng)根據(jù)安全策略對惡意文件或行為進行攔截和防御。