1.一种网络安全监测管理系统，其特征在于，包括网络安全监管服务器和分布式入侵检测模块IDS；所述网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块；所述IDS包括部署于多个预设网络节点的传感器；其中：所述IDS，用于当检测到网络中有传感器发出警报，则获取相关各传感器的监控日志，生成该警报对应的攻击事件集；

所述预处理模块，用于提取所述攻击事件集的特定字段的信息，生成预设格式的事件信息；

所述事件检测模块，用于根据预设攻击行为集确定所述事件信息中的可疑行为，使用杀伤链模型对各可疑行为进行分类，确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段；

所述攻击演化模块包括服务器识别子模块和演化子模块；

服务器识别子模块，用于根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器；

演化子模块，用于模拟疑似C2服务器执行预设的攻击策略，演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为，得到多个网络攻击下一攻击阶段的攻击方案；

所述杀伤链识别模块，用于识别各攻击方案的置信度，确定各攻击方案是否为网络攻击；

所述IDS还包括主控模块；

每一传感器，用于对该传感器对应网络节点的交互数据进行检查，若针对目标数据包检查失败，则向所述主控模块发送报警数据包以发出警报；所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息；

所述主控模块，用于根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息，确定与该警报相关的各传感器，获取各传感器的监控日志，生成所述攻击事件集，根据报警时间和传感器ID生成所述攻击事件集的事件ID；

所述事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器；

所述事件检测模块，具体用于：

将所述事件信息根据网络拓扑和时间关系构建消息传输模型；

根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点，重构为攻击事件模型；

将所述攻击事件模型映射到杀伤链模型，对各可疑行为进行分类，确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段；

所述杀伤链识别模块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块；

所述信度子模块，用于针对每一攻击方案，根据Dempster合成规则将各步骤的执行概率融合，得到该攻击方案的置信度；

所述判断子模块，用于将各攻击方案的置信度与预设阈值进行比较，确定最优攻击方案；

所述服务器检测子模块，用于对可疑服务器进行检测，确定可疑服务器是否为受感染服务器；

所述攻击识别子模块，用于若存在最优攻击方案，则确定当前受到网络攻击；若不存在最优攻击方案且不存在受感染服务器，则确定当前未受到网络攻击；若不存在最优攻击方案且存在受感染服务器，则确定当前受到新型的网络攻击。

2.一种基于权利要求1所述的网络安全监测管理系统的管理方法，其特征在于，应用于网络安全监管服务器；所述方法包括：当检测到网络中有传感器发出警报，则获取相关各传感器的监控日志，生成该警报对应的攻击事件集；多个预设网络节点部署有传感器；

提取所述攻击事件集的特定字段的信息，生成预设格式的事件信息；

根据预设攻击行为集确定所述事件信息中的可疑行为，使用杀伤链模型对各可疑行为进行分类，确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段；

根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器；

模拟疑似C2服务器执行预设的攻击策略，演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为，得到多个网络攻击下一攻击阶段的攻击方案；攻击方案包括攻击路径和攻击行为；

识别各攻击方案的置信度，确定各攻击方案是否为网络攻击。

3.基于权利要求2所述的一种网络安全监测管理方法，其特征在于，当检测到网络中有传感器发出警报，则获取相关各传感器的监控日志，生成该警报对应的攻击事件集包括：接收传感器发送的报警数据包；报警数据包是传感器对网络节点的目标数据包检查失败时发送的报警信息；所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息；

根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息，确定与该警报相关的各传感器，获取各传感器的监控日志，生成所述攻击事件集，根据报警时间和传感器ID生成所述攻击事件集的事件ID。

4.基于权利要求3所述的一种网络安全监测管理方法，其特征在于，所述事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器；

提取所述攻击事件集的特定字段的信息，生成预设格式的事件信息包括：将所述事件信息根据网络拓扑和时间关系构建消息传输模型；

根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点，重构为攻击事件模型；

将所述攻击事件模型映射到杀伤链模型，对各可疑行为进行分类，确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。

5.基于权利要求2所述的一种网络安全监测管理方法，其特征在于，识别各攻击方案的置信度，确定各攻击方案是否为网络攻击，包括：针对每一攻击方案，根据Dempster合成规则将各步骤的执行概率融合，得到该攻击方案的置信度；

将各攻击方案的置信度与预设阈值进行比较，确定最优攻击方案；

对可疑服务器进行检测，确定可疑服务器是否为受感染服务器；

若存在最优攻击方案，则确定当前受到网络攻击；若不存在最优攻击方案且不存在受感染服务器，则确定当前未受到网络攻击；若不存在最优攻击方案且存在受感染服务器，则确定当前受到新型的网络攻击。