1.网络恶意程序解析监测的APT攻击防护系统，其特征在于，通过WEB服务和Syslog日志向外部提供数据，恶意程序解析子系统接受网络监测引擎还原的样本文件并对它进行解析,解析结果通过WEB服务提供用户浏览，网络监测引擎子系统对网络数据包进行解析还原，把还原后的样本文件发给恶意程序解析子系统，把告警日志通过syslog发给外部展示或者大数据解析系统；

一是恶意程序的解析：静态特征和动态行为相结合的智能解析判定，静态特征包括病毒库、填充数据、输入表、特定字符串，通过这些数据的智能解析过滤掉大部分已知的恶意程序，为未知样本的解析提供有价值的判定，针对样本的操作行为进行归纳、分类、建模，建立行为规则匹配库，把相关行为或者行为序列组成规则单元，对不同的单元设置不同的权值和风险等级，依此建立好规则库，然后对捕获到的注册表操作、网络操作、文件操作、进程线程操作、内存操作行为按指定规则进行置换，与行为规则库进行匹配，当权值达到一定数值时判定为恶意程序，解析已知漏洞对专用系统的威胁，在网关或者隔离器中设计检测引擎，对已知漏洞攻击进行识别，更能对未知漏洞攻击做识别，对未知漏洞攻击的识别是恶意程序识别，将恶意程序发送到服务器，利用特定漏洞，获取权限或者进行其他恶意攻击；

二是网络入侵检测：基于异常流量的密文检测，将加密的数据与未加密的数据区分开来,通过判断加密行为是否合法，实现对APT攻击的检测，利用网络监测防护系统对网络流量进行旁路监测，归纳解析数据明文与数据密文的字符特征区别，通过计算流量的统计特征，实现对加密流量的智能识别和准确检测，采用动态流程优化算法，在协议解析、规则匹配各关键处理流程进行动态优化。

2.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于：网络监测引擎旁路部署在用户网络中，接入待检测的网络流量，在捕捉数据包、预处理筛选和协议解析后，通过规则匹配和异常行为识别技术对网络报文进行各项检测，对于已知网络攻击，将发现的安全报警信息上报，对于未知网络攻击，将样本提交到恶意程序解析模块，解析检测引擎首先通过特征匹配算法进行解析，在协议解析、规则匹配各关键处理流程进行优化，同时，检测引擎采用内置编译器直接将检测规则编译成可执行机器程序，由CPU直接执行。

3.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，恶意程序解析：首先确定恶意程序的行为特征，以此为标准搜索恶意程序的特征值，为之后的解析检测提供依据，采取静态解析和动态解析结合的方式；

首先进行动态解析，监测到可疑的程序，确定范围；然后利用静态解析检测此范围的程序，解析检测是否是恶意程序，同时，在多种环境下进行动态解析，更全面的监测恶意程序。

4.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，防护网络部署：

1)网络监测引擎的eth0接口为网络流量捕获口，接在核心交换机的镜像端口上，进行网络流量的监控；eth1为管控口，接到本系统工作网络；

2)网络监测管理端实现检测引擎的管控，实现网络包的解析及相关参数配置，包括检测规则、网段、事件；

3)恶意程序解析系统接受网络监测防护系统对捕获到的网络流量进行还原的样本文件，并对它进行解析；

4)整个系统以Syslog形式向外部系统传输数据，确保网络监测防护系统管理中心和网络监测引擎、攻击机和被攻击机、管理中心和Syslog接收服务器、检测引擎和恶意程序解析系统之间的网络连通性。

5.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，制定规则库：规则分层节约特征匹配时间，每个特征只关心指定的行为，快速的索引到所需资源；

第一层为行为，行为层隐藏底层API参数、数据来源问题，为上层提供统一的特征接口；

第二层为特征，根据行为层操作以及提供的数据，匹配恶意行为特征，展示用户能理解的恶意行为和造成的危害；

第三层为宏特征，根据一个或者多个特征，归纳出样本综合性描述，为用户提供样本的黑白判断结果；

低级规则智能触发高级规则：低级规则在被触发执行后，通过修改指定标志位，通知规则设置器依赖此规则的上一级规则被触发，调用上一级规则进行处理；

每一条规则分为过滤规则、特征规则，过滤规则是在已有特征结果中实现对已有结果的修改、过滤，为规则的升级，特征规则是根据行为特征或者恶意特征形成新的恶意特征，为规则的增加；

规则的动态增删改查：每个规则作为一条特征的匹配条件，动态增加、删除、修改、搜索。

6.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，静态行为监测：行为特征库由两个部分组成，第一部分是根据填充数据的运行构成来提取特征，第二部分是根据填充数据的来源类型来提取；

根据程序的前后文找出相关特征，构成一个准确的行为特征，从以下方面提高检测效率：一是检测附近的数据,利用call指令的跳转范围一般不大,mov.add指令，操作数位于FS段；二是考虑限制执行和内存访问的地址范围，只有程序段和堆栈能够访问可执行；三是寄存器和堆栈里设置不可执行的数据；四是GetPC Code是填充数据执行的开始；

填充数据执行需要读取自身程序中的数据，首先自我定位，确定自己在内存中的虚拟地址，通过获取程序当前入口地址的EIP值，来进行自我定位，然后，填充数据从当前的进程空间中调用系统API来完成预定的目标，只要当前的进程加载了含有该API的动态链接库文件，通过该库文件就可以导出GetProcAddress，从而获得函数的入口地址，开始函数的调用，通过读取kernel32.dll的输出表来获取kernel32.dll中的GetProcAddress函数地址，定位输出表从PE文件中搜索MZ开始。

7.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，虚拟机自适应调度：首先识别待检测文档类型，根据文档类型选择相应的沙箱检测环境，根据虚拟机运行状态启动相应虚拟机进行动态解析检测；

基于沙箱环境的覆盖全局要求与可能的变化要求，定制沙箱环境，并将自定义的沙箱环境加入到沙箱库中，供后续检测使用，同时，平台系统设置手工指定待检测的沙箱环境，即提交待检测的文件后，在指定的沙箱环境中进行动态解析，平台系统根据提交的样本文件的类型智能推荐合适的沙箱环境；

通过多虚拟机对样本解析流程进行优化，通过对多虚拟机的样本解析进行负载均衡，虚拟调度基于Libvirt虚拟化管理工具对虚拟机进行启动、还原、关闭控制,虚拟机根据样本分配需要的系统软件环境，在现有的虚拟机中找到符合样本条件的，等待解析数量较少的虚拟机，之后从中选取一个适合的虚拟机分配给该任务。

8.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，动态行为监测：一旦静态检测不能验证样本是否可疑，则需要将样本交给虚拟检测环境，动态监控样本运行过程中的行为，智能任务调度根据样本类型，定制不同的解析策略；

调度首先将样本置于虚拟机中进行监控执行,对样本执行后捕获到的行为进行解析评估，如果评估结果判定为恶意程序，样本解析将停止；否则会继续选择其他不同系统版本、不同应用软件版本的虚拟机环境进行解析，直到样本判定为恶意程序或者相关的环境全部解析完毕；

动态监控样本运行过程中的行为，首先获取API调用序列，并根据API调用序列与规则库进行匹配，以确定被检测的文档是否包含恶意程序，获取底层API调用序列，通过在agent中hook api，在样本运行过程中监视这些api的调用并记录相关参数，为解析行为提供依据；

通过对api的监控，一旦发现有创建进程CreateProcess、检测调试器IsDebuggerPresent行为则视为可疑，监控行为至少包括注册表访问情况、API调用情况、网络访问情况、堆栈行为。

9.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于：网络监测防护系统检测引擎旁路部署在用户网络中，接入待检测的网络流量，在捕捉数据包、预处理筛选和协议解析后，通过规则匹配和异常行为识别对网络报文进行各项检测；对于已知网络攻击，将发现的安全报警信息上报，对于未知网络攻击,提交样本给恶意程序解析模块进行解析；

规则设置：允许管理员增加新的自定义规则，解析系统根据自定义规则描述识别新的恶意行为；

自定义规则支持正则表达式，对样本行为的每一项参数进行灵活匹配，自定义规则包括规则名称、规则描述、是否启用：(1)规则名称代表区别不同的规则，具有唯一性；

(2)规则描述在规则触发后显示到解析报告中的恶意行为内容；

(3)是否启用控制本条规则是否应用与恶意行为识别，对于用于想要备份的自定义规则选择不启用该条规则；

规则设置通过WEB进行自定义规则的添加、编辑、删除。

10.根据权利要求1所述网络恶意程序解析监测的APT攻击防护系统，其特征在于，基于异常流量的密文检测：将加密的数据与未加密的数据区分开来，通过判断加密行为是否合法，实现对APT攻击的检测；

网络监测针对特定的IP、端口和时间段定义加密流量检测规则，以排除正常的加密传输流量，实现异常加密流量的智能检测，如果某个不常用端口突然出现加密通信，或某个不应该进行加密传输的IP突然对外发出了加密报文，或一次本应为明文传输的通信突然出现加密信息，应进行报警，并将传输异常加密流量的可疑IP和端口等信息上报，针对加密协议的某个阶段，利用其特定的协商信息，通过其特征进行匹配判断；

本申请对内网中的运行程序建立加密白名单，确定允许加密外传数据的IP地址和端口列表；同时，在网关处利用网络引擎对外传数据进行加密检测，识别出异常加密传输流量，甄别出加密信息的IP和端口；然后进行对比，发现非法加密外传的数据及其IP和端口，并将这些可疑IP和端口等信息上报，异常加密检测杜绝恶意程序以加密的方式外传数据。