随着互联网规模的不断增长以及计算机网络的广泛应用,网络在带给人们极大便利的同时,也带来了各种各样的安全问题,网络攻击和入侵等问题与日俱增。自2010年Google承认遭受严重黑客攻击之后,APT高级持续性威胁便引起了安全界人士的广泛关注。APT作为一种高效、精准的网络攻击方式,在近几年被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全最大的威胁之一。由于黑客普遍使用未知木马进行远程控制,木马攻击行为特征难以提取,给传统的入侵检测技术带来了巨大的挑战。如何能够准确地检测面向未知木马的APT攻击,提高APT的检测能力,及时发现网络中可能存在的APT攻击威胁,对于维护网络秩序,保障社会安全有着重要的意义。本文通过分析APT攻击过程和特点以及木马的通信行为特征,结合现有的APT攻击检测方法,提出了一种基于自定义模式的面向未知木马的APT攻击检测方法,并对该方法进行了原型实现和实验。本文的主要工作包括以下几个方面：(1)研究了APT攻击的攻击过程和攻击特点,并对现有的APT攻击检测方法及其优缺点进行了分析,在此基础上提出了一种基于自定义检测模式的APT攻击检测方法的设计思路；(2)研究并归纳了木马的通信行为特征,并在此基础上制定了规则描述语言,研究了基于自定义检测模式的网络行为异常检测方法,该方法支持对实时网络流量和离线存储流量的检测；该方法面向用户提供自定义的检测规则接口,通过自定义检测模式完成对网络环境中存在的可疑APT攻击事件的检测；(3)实现了一个基于自定义检测模式的网络行为异常检测实验系统,对系统中的各模块的具体功能进行了详细的论述,并对各模块涉及到的关键技术进行了研究和实现,最后,对系统的检测能力和性能进行了测试。测试结果表明,该检测方法是可行的。