当今世界,伴随着越来越多针对政府机构、工业设施、大型公司网络的攻击,网络安全已经成为全球研究人员的关注点。其中,高级持续威胁（Advanced Persistent Threat,APT）结合社会工程学、0day漏洞、隐蔽通信等技术手段对目标实行长周期、多阶段的攻击行为,凭借其极高的隐蔽性和威胁性,已经成为网络空间安全中的主要威胁之一。如何对APT组织进行溯源识别以及在早期发现APT攻击并发出警报也已成为研究者关注的热点问题。利用APT阶段来还原APT的攻击路径和对其进行预测,不仅可以在早期发现并对APT攻击进行防御,而且有助于防御者理解攻击者的目标及战略意图,从而达到在战术层面对APT进行画像以及优化自身防御系统的目的。当前,针对APT的研究侧重于寻找可靠的攻击特征并提高检测准确率,而不是还原及预测APT的攻击路径。同时,复杂且庞大的数据很容易将APT特征隐藏,这使得获取可靠数据的工作难度大大增加。对此本文提出了一种APT攻击路径还原及预测方法。首先,本文参考软件基因的思想,使用APT恶意行为基因库解决可靠数据获取的问题。APT攻击是长周期、多阶段的,这就代表攻击者会在攻击的过程中有意识地降低攻击频率或是将恶意软件分成多个模块。本文提出了一种基因模型用以提取恶意软件中的关键基因序列,并设计基因优化算法和基因相似算法来构建APT家族基因库和恶意行为基因库。之后再使用恶意行为基因库对样本进行基因检测,从中提取出可靠的恶意特征。其次,针对APT攻击路径还原和预测的问题,本文将使用隐马尔可夫模型对APT恶意行为链（通过基因检测获得）进行攻击路径（由APT阶段组成）还原及预测。利用恶意行为基因库生成的特征构建恶意行为链并估计模型中的参数,再通过模型还原APT攻击路径及对其下一时刻可能的路径状态进行预测。本文将通过多组对比实验验证该方法的科学性和有效性。最后,本文将使用隐马尔可夫模型和基因检测两种方法对恶意软件进行家族识别。进行这一阶段的实验一方面是为了提高系统的完整性,另一方面是在前两个阶段的实验中发现APT家族的攻击路径也含有一定的家族特征（体现在模型参数中）。本文将通过家族识别来验证这类特征能否指导入侵检测系统对恶意软件进行识别和分类,同时根据实验结果对两种方法的优劣势进行分析。