1.一种证据图与漏洞推理相结合的网络取证方法，其特征在于，包括：步骤1：从异构数据源中收集原始数据；

步骤2：将所述原始数据进行存储，得到第一存储数据；

步骤3：采用分类识别算法从所述第一存储数据中分离出证据；

步骤4：对所述证据进行标记处理，得到所述证据的事件向量；

步骤5：将所述第一存储数据、所述证据和所述事件向量建立为证据库；

步骤6：根据所述证据库，按照有效时间序列构建证据图；

步骤7：根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

2.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤1中的异构数据源包括：网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件；

和/或，

所述步骤2中在进行存储之前还包括：将所述原始数据添加时间戳或数字签名；和/或，所述步骤3中的分类识别算法为支持向量机SVM算法。

3.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤4包括：获取所有证据的地址ID、目标Target、操作Operation或时间属性Timestamp；

将地址ID、目标Target、操作Operation或时间属性Timestamp标记为所述证据的事件向量。

4.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤4之后，步骤5之前还包括：将所述原始数据进行加密处理后备份存储，得到第一备份数据，并对第一储存数据和第一备份数据添加索引；

将已经构建事件向量的证据与所述原始数据进行一一对应处理后进行存储，得到第二存储数据；

则，所述步骤5为：将将所述第一存储数据、第二存储数据和所述第一备份数据建立为证据库。

5.如权利要求6所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述加密处理为添加数字签名；和/或，所述一一对应处理为：将所述证据的ID与所述原始数据的ID进行对应，得到所述证据在所述原始数据中的位置数据；则所述第二存储数据还包括所述位置数据。

6.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤7包括：将所述证据图用邻接矩阵表示，确定所有的主机节点；

通过VERA算法推理出嫌疑攻击节点：分别初始化所有主机节点的节点重要度和链接重要度的向量，其中节点重要度是指主机所包含的漏洞重要性，链接重要度是指所有指向主机的链接来源主机的漏洞重要性；根据所述邻接矩阵，经过一步以上的迭代计算，得到收敛的节点重要度和链接重要度的向量；将节点重要度的值按从大到小排列并输出；将链接重要度的值按从小到达排列并输出；

根据所述节点重要度的值和链接重要度的值模拟攻击路线。

7.如权利要求6所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，VERA算法推理出嫌疑攻击节点的过程包括：S1：将所述证据图用邻接矩阵表示H，将所有主机节点的集合记为N＝{n1，n2，……，nn}；

S2：将主机节点ni的节点重要度记为yi、链接重要度记为zi；

S3：初始化节点重要度向量y0＝{y01，y02，……，y0n}和链接重要度z0＝{z01，z02，……，z0n}，分别使得其平方和为1；

S4：第k步迭代时，主机节点ni的主机重要度 为：即y＝HTz；

S5：新的节点重要度向量y之后，主机节点的链接重要度zi为：即z＝Hy；

S6：将所得的向量y和z进行单位化处理，分别使得其平方和为1；

S7：判断向量y和z是否收敛，若不收敛，则重复S4-S6，否则结束；

S8：将节点重要度向量中y的值按从大到小排列并输出；将链接重要度向量中z的值按从小到达排列并输出。

8.一种证据图与漏洞推理相结合的网络取证系统，其特征在于，包括：收集模块，所述收集模块用于从异构数据源中收集原始数据；

存储模块，所述存储模块用于将所述原始数据进行存储，得到第一存储数据；

规范化模块，所述规范化模块用于采用分类识别算法从所述第一存储数据中分离出证据，以及对所述证据进行标记处理，得到所述证据的事件向量；

构建模块：所述构建模块用于将所述第一存储数据、所述证据和所述事件向量建立为证据库，以及根据所述证据库，按照有效时间序列构建证据图；

推理模块：所述推理模块用于根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

9.如权利要求8所述的证据图与漏洞推理相结合的网络取证系统，其特征在于，所述收集模块、规范化模块、构建模块和推理模块均包括显示单元，显示单元用于将处理所得的数据进行可视化显示。