1.一種基于網(wǎng)絡全流量中事件關系有向圖的APT攻擊檢測方法，其特征在于，具體包括以下步驟：步驟S1，利用深度報文分析采集旁路流量得到實時的網(wǎng)絡元數(shù)據(jù)；步驟S2，基于黑客網(wǎng)絡技術并利用大數(shù)據(jù)對網(wǎng)絡元數(shù)據(jù)進行分析，生成網(wǎng)絡事件關系有向圖；步驟S3，基于預設的APT攻擊技術帶權(quán)有向圖，構(gòu)建網(wǎng)絡事件攻擊技術有向圖并與預設的APT攻擊技術帶權(quán)有向圖進行匹配分析，計算所述步驟S2中的網(wǎng)絡事件有向圖連通分量權(quán)值，最終檢測出當前APT攻擊結(jié)果并產(chǎn)生告警提示；所述步驟S2的生成網(wǎng)絡事件關系有向圖以網(wǎng)絡事件的主機IP為節(jié)點、網(wǎng)絡事件為有向邊，生成一張網(wǎng)絡事件有向圖；其中，圖中的有向邊代表主機IP之間的通訊關系；每一項黑客網(wǎng)絡技術有一條邊；邊記錄著相應事件的最新時間戳；所述預設的APT攻擊技術帶權(quán)有向圖，是對已知的APT攻擊事件進行分析后，基于APT攻擊中所使用的黑客網(wǎng)絡技術構(gòu)建；基于預設的APT攻擊技術帶權(quán)有向圖，對網(wǎng)絡事件有向圖中的時序關系、行為關系進行分析；分別計算網(wǎng)絡事件有向圖各個連通分量的節(jié)點的權(quán)值之和，連通分量的權(quán)值大于閾值則代表與預設的APT攻擊技術帶權(quán)有向圖相關；所述步驟S3構(gòu)建網(wǎng)絡事件攻擊技術有向圖，其中以網(wǎng)絡事件有向圖中邊的黑客網(wǎng)絡技術為網(wǎng)絡事件的攻擊技術有向圖的節(jié)點、網(wǎng)絡事件有向圖中邊共同的節(jié)點為網(wǎng)絡事件的攻擊技術有向圖的邊，網(wǎng)絡事件的攻擊技術有向圖的邊記錄的時間戳順序作為方向。