按照數據—信息—知識逐層提煉的模式，基于記憶的APT攻擊檢測系統結構分為三級，系統整體架構圖如下：

 基于記憶的檢測系統架構圖

存儲層

存儲層完成對從互聯網直接獲取的實時數據流的預處理和存儲管理工作。對實時數據流首先進行傳輸層的會話還原，消除因網絡條件造成的亂序、重傳、延遲等對后續分析的干擾;然后進行應用協議識別，判斷數據流上所承載的具體應用;最終從非結構化的數據流中抽取結構化的元數據信息，以便后續的各類統計和關聯分析。

預處理后的原始數據流，既包括完整的全流量數據，又包括提取后的元數據?？紤]到海量數據的存儲壓力，可對不同類型的數據采取靈活的管理策略：

(1) 對于全流量數據，進行窗口長度為星期級的存儲。由于全流量數據會占用海量存儲空間，不宜進行長期存儲，但全流量數據對于后續的回溯分析又是必須的。為此采用折中的存儲策略：只存儲最近幾周(例如1-2周)的全流量信息，對于超期的數據進行降解處理。

(2) 對于元數據，進行年度級的存儲。提取后的元數據只包含應用層會話的關鍵信息，其數據量大約相當于全流量信息的5%，這類信息對后續的統計、關聯和數據挖掘具有重要的作用，且占用的空間在可接受范圍內，因此在平臺中進行長期存儲。

分析層

分析層完成從原始流量數據中產生獨立報警信息的工作，主要方法包括：

(1) 對于能引起網絡流量顯著異常的攻擊，如DDoS、掃描、蠕蟲傳播等，可通過異常流量檢測和統計分析的方式進行識別。通過建立全面、完整的安全基準指標體系，可以快速識別網絡流量異常;通過統計分析，可準確定位異常的位置和原因。

(2) 對于不引起流量異常的未知攻擊，可通過可疑行為建模的方式進行識別。例如對于尚未提取特征的木馬，其連接控制端的時候可能會存在未知的加密傳輸、疑似心跳信號的間歇性連接、惡意域名訪問、異常的上下行流量比等行為，通過對這些可疑行為進行關聯，就有可能檢測到木馬連接行為。

(3) 對于通過異常檢測模塊產生的各類報警，由于缺乏攻擊簽名信息進行驗證，其準確度往往低于基于特征匹配的誤用檢測。為此還需要結合原始報文，對報警的有效性進一步確認。通過報文所承載的應用層對象做細粒度的協議解析和還原，可輔助分析人員判定會話內容是否包含攻擊數據，從而進一步產生精確報警。

展示層

展示層完成從孤立的攻擊報警信息生成完整的攻擊場景的關聯工作，并提供可視化分析前端工具，幫助分析人員從存儲的海量歷史數據中獲取知識。對于攻擊場景關聯，常見的方法是基于關聯規則匹配攻擊場景。由于APT攻擊手段的復雜性，在實際環境中往往會因為報警事件的缺失導致無法進行完整攻擊路徑圖的匹配，進而導致建立APT場景失敗，為此要解決基于不完整攻擊路徑的攻擊場景匹配問題。對于多維數據可視化分析，要提供給分析人員一套能從地址、端口、協議類型等維度對數據進行統計展示的工具，并支持按照不同的粒度對數據進行鉆取，方便分析人員在大數據中定位可疑行為。