本发明属于网络安全技术领域，公开了一种多方法混合的分布式APT恶意流量检测防御系统及方法，包括：网络设备层进行流量旁路与设备管控，将旁路流量送往检测与防御层进行检测；检测与防护层进行流量检测与指令执行；分析与控制层进行检测日志汇总分析与指令下达；展示与管理层进行数据展示与用户交互。本发明能够对网络中的恶意流量进行全方位、多角度的精准检测，从而识别出潜在的APT攻击。同时，运用分布式架构，可以对整个受保护网络的入侵情况进行精准全面地威胁建模。同时使用了Cyber Kill Chain理论模型，充分挖掘长时间、宽空间跨度下的网络内告警之间的关联，识别出网络中潜在的APT攻击行动并给出相应的警报。