1.一種基于威脅情報和ATTCK的威脅響應方法，其特征在于，包括：

S1建立威脅情報庫：

外部威脅采集步驟：利用爬蟲和開源威脅情報共享平臺API自動化從公開資源中收集外部威脅情報為第一采集結果；

內部威脅采集步驟：從傳統安全設備中收集內部威脅情報為第二采集結果；所述傳統安全設備包括防火墻、IDS、IPS；所述內部威脅情報包括非法接入、未授權訪問、身份認證、非常規操作、沙盒執行和惡意代碼檢測；

ATTCK解析步驟：通過ATTCK框架將所述第一采集結果與所述第二采集結果糅合，建立完整攻擊鏈形式的攻擊者機器學習模型，存入威脅情報數據庫中；所述通過ATTCK框架將所述第一采集結果與所述第二采集結果糅合，建立完整攻擊鏈形式的攻擊者機器學習模型，具體為：通過自然語言處理方法NLP，結合ATTCK對所述第一采集結果與所述第二采集結果進行文本分類，詞性標注，句法分析，信息檢索，信息抽取，問答系統，機器翻譯，逐步建立攻擊者機器學習模型；所述攻擊者機器學習模型中所包含的威脅情報信息包括所述ATTCK框架在各攻擊階段中的檢測對象及檢測結果，所述攻擊階段包括：入口點階段、命令執行階段、持久化階段、權限維持階段、繞過防御階段、橫向滲透階段、C2命令與控制階段和信息竊取階段；

所述檢測對象包括：所述入口點階段中檢測工具的行為，所述檢測工具包括Nmap、WHOIS、Gscan及SeatBelt；所述命令執行階段中的行為，包括Winodws powershell腳本，Linux shell腳本，惡意鏈接，延時執行DLL以及無文件攻擊方式；所述持久化階段中的行為，包括創建賬戶，修改進程，進程劫持，OFFICE異常啟動及預啟動；所述權限維持階段中的行為，包括SID歷史注入，PID欺騙，偽造令牌及事件觸發執行；所述繞過防御階段中的行為，包括：目錄和文件權限修改，隱藏文件，簡介命令執行及安全軟件異常關閉；所述橫向滲透階段中的行為，包括內部魚叉，遠程會話劫持，內網蠕蟲，抓取登錄憑證；所述C2命令與控制階段中的行為，包括加密通道，非應用層協議，異常協議隧道以及異常端口數據傳輸；所述信息竊取階段中的行為，包括移動介質信息泄露，暗網信息售賣以及漏洞庫公告；

所述檢測結果包括：攻擊者可能的意圖、攻擊者信息、攻擊者利用方法及攻擊工具；

S2建立標簽與處理規則的映射關系：根據所述攻擊者機器學習模型建立所述標簽與處理規則的映射關系，每種標簽對應一種威脅度；

S3威脅感知：使用基于DFI的深度流撿測技術對實時流量數據進行監控，識別出惡意攻擊數據流，利用不同的應用類型體現在會話連接和數據流上狀態不同，建立流量特征模型，通過分析會話連接流信息結合威脅情報和ATTCK分析結果對比，對流量數據進行監控、賦予標簽以及響應，根據流量實時特征的變化不斷更改所述惡意攻擊數據流的標簽；所述會話連接流信息包括包長、連接速率、傳輸字節量以及包與包間隔；所述深度流檢測技術包括：流特征選擇、流特征提取、分類器；在所述深度流檢測中，首先對所述實時流量數據進行識別，提取所述實時流量數據的流特征，然后經由所述分類器進行分析，如果判斷為可疑流量，則結合上下行流量對稱法、時間跨度均衡法、行為鏈關聯法方法進行延遲監控判別；如果判斷為異常，則對數據包進行拆分，在數據包空白字段依據標簽模塊的規則設置標簽；

S4威脅防御，根據所述標簽與處理規則的映射關系激活所述威脅防御，包括：

響應策略步驟，當所述惡意攻擊數據流的標簽所對應的威脅度為較低時，采用蜜罐技術，并將流量引入蜜罐中，對攻擊行為進行捕獲和分析后獲取攻擊行為數據；具有蜜罐響應策略；所述蜜罐具體分為低交互性蜜罐、中交互性蜜罐、高交互性蜜罐；所述蜜罐響應策略用于根據所述惡意攻擊數據流的標簽來激活不同種類的蜜罐；當所述惡意攻擊數據流的標簽所對應的威脅度為較高時，加入黑名單進行威脅阻斷；

反饋步驟，收集所述惡意攻擊數據流中的威脅信息，用于豐富所述威脅情報數據庫中的所述攻擊者機器學習模型，根據所述攻擊行為數據評估攻擊風險并生成安全防護建議。