1.一種多方法混合的分布式APT惡意流量檢測(cè)防御系統(tǒng)，其特征在于，所述多方法混合的分布式APT惡意流量檢測(cè)防御系統(tǒng)包括：

網(wǎng)絡(luò)設(shè)備層、檢測(cè)與防護(hù)層、分析與控制層和展示與管理層；

網(wǎng)絡(luò)設(shè)備層，用于進(jìn)行流量旁路與設(shè)備管控，同時(shí)用于將旁路流量送往檢測(cè)與防御層進(jìn)行檢測(cè)；

檢測(cè)與防護(hù)層，用于進(jìn)行流量檢測(cè)與指令執(zhí)行；

分析與控制層，用于進(jìn)行檢測(cè)日志匯總分析與指令下達(dá)；

展示與管理層，用于進(jìn)行數(shù)據(jù)展示與用戶交互；

所述網(wǎng)絡(luò)設(shè)備層與檢測(cè)與防護(hù)層在同一臺(tái)主機(jī)上運(yùn)行，所述主機(jī)為Sensor；

所述分析與控制層和展示與管理層在同一臺(tái)主機(jī)上運(yùn)行，所述主機(jī)為Tower；

所述檢測(cè)與防護(hù)層包括：

檢測(cè)模塊，用于利用基于傳統(tǒng)檢測(cè)手段和深度學(xué)習(xí)檢測(cè)手段的混合的惡意流量探測(cè)器進(jìn)行流量檢測(cè)；用于利用惡意流量探測(cè)器實(shí)時(shí)收集使用各不同檢測(cè)方法產(chǎn)生的告警日志，并通過可靠鏈接將不同惡意流量檢測(cè)方法、不同Sensor上產(chǎn)生的告警日志轉(zhuǎn)發(fā)至預(yù)先指定的Tower分析與控制層進(jìn)行匯總；

防御模塊，用于利用運(yùn)行在不同Sensor上的防御執(zhí)行器通過RPC協(xié)議接收并執(zhí)行Tower分析與控制層的控制塔臺(tái)下發(fā)的操作指令，并對(duì)惡意流量探測(cè)器與下層網(wǎng)絡(luò)設(shè)備執(zhí)行指令相應(yīng)的處理；

所述分析與控制層包括：

控制塔臺(tái)，用于收集下層呈遞的日志信息，并將非結(jié)構(gòu)化日志數(shù)據(jù)歸一化為相同結(jié)構(gòu)的入侵報(bào)警信息，并對(duì)其進(jìn)行索引；

知識(shí)圖譜推演模塊，用于運(yùn)用Cyber Kill Chain(CKC)模型，提取各網(wǎng)絡(luò)報(bào)警日志所對(duì)應(yīng)的網(wǎng)絡(luò)威脅之間深層次的相互關(guān)聯(lián)性，設(shè)計(jì)算法對(duì)攻擊日志數(shù)據(jù)庫中的每一條入侵警告信息進(jìn)行時(shí)間尺度及空間尺度上的前推與后演，繪制攻擊者畫像，預(yù)警潛在APT攻擊；同時(shí)用于根據(jù)預(yù)定義的防護(hù)策略，通過RPC協(xié)議向檢測(cè)與防護(hù)層的防御執(zhí)行器下達(dá)相應(yīng)指令。