本发明提供一种基于工业物联网的检测APT攻击系统和检测方法，属于工业物联网领域。系统包括：数据获取模块，从各种来源的数据中追踪用于检测APT不同攻击阶段的预定最佳数据源；数据准备模块，对获取的数据源进行压缩存储；功能提取模块，实时扫描数据源进行APT不同攻击阶段的功能提取，并通过聚合检测评分方式获取确定性最佳数据源；功能处理模块，对所述确定性最佳数据源对应的数据集进行APT功能检测，得到APT不同攻击阶段的特征；APT攻击阶段检测&关联引擎模块，利用确定性最佳数据源和APT不同攻击阶段的特征，检测ISAM中的不变APT攻击阶段，并利用APT攻击阶段的属性关联攻击阶段；APT活动图生成模块，利用APT攻击阶段的关联性得到APT活动图。