5.一種網絡攻擊檢測裝置，其特征在于，應用于內部網絡，包括：

獲取單元，用于獲取所述內部網絡中多個終端設備的待檢測信息，所述待檢測信息包括系統數據和web日志數據；系統數據包括：進程列表數據、系統服務數據、敏感目錄數據、系統安全日志數據、系統注冊表數據和網絡鏈接數據中的至少一種數據；

檢測單元，用于分別對每一個所述待檢測信息進行威脅檢測，獲取相應的異常數據，其中，識別每一個所述待檢測信息中各個待檢測數據的數據類型，所述數據類型包括：系統數據類和web數據類；所述系統數據類對應的威脅檢測為系統威脅檢測，所述web數據類對應的威脅檢測為web威脅檢測，對所述系統數據進行系統威脅檢測獲取異常數據，對所述web日志數據進行web威脅檢測獲取異常數據；采用第一預設模型檢測所述web日志數據是否包括異常數據，分別根據所述異常數據中每一個異常項對應的異常時間數據順序，將相應的異常操作狀態進行關聯，生成與所述web日志數據對應的所述終端設備的攻擊路徑信息；其中，第一預設模型包括：webshell檢測模型、webshell掃描檢測模型、SQL注入檢測模型、文件上傳檢測模型、命令執行檢測模型、掃描器檢測模型、XSS威脅檢測模型、任意文件下載檢測模型、Struts2攻擊檢測模型和解析漏洞檢測模型；

分析單元，用于對全部所述異常數據進行聚合分析，生成異常路徑信息。