近年来国家金融、政府等基础设施部门饱受高级持续性威胁（APT）攻击的困扰,但由于分析样本的缺失,针对APT攻击的研究一直没有取得较大的进展。随着震网病毒、乌克兰停电事件、NSA武器库被盗等问题的发生,人们开始逐渐重视起这种持续时间长、攻击复杂性较高、危害性较高的网络攻击。并且由于传统的访问控制、黑白名单等检测手法无法很好的应对APT攻击,一些人工智能的方法也被引入来进行APT攻击的检测。综合其现有的研究成果,大多集中在某些样本的异常检测或是宏观的博弈方法论的研究,并没有特别关注到这种阶段性攻击的整体过程。为此本文从最新的理论框架出发,对APT攻击的阶段性特点进行了深入分析,从各阶段的攻击面入手,归纳并简化出了一种APT攻击形式化阶段。在这个理论基础上对载荷投递和横向移动阶段的常用攻击手段设计了针对性的检测方法,并通过进行仿真攻击实验来验证了检测方法的有效性。最终通过多视野的LSTM网络来对检测方法截获的攻击样本进行预测分析,于此同时神经网络采用了Attention机制来克服可能存在的无关API序列调用问题,实验表明该模型取得了较高的准确率和较低的损失率。该检测方法从日志、流量等多个维度来检测APT行为,结合了主动防御蜜罐和被动流量探针能够有效截获攻击样本,同时由于使用了人工智能方法大大降低了人工成本。具体内容如下:（1）基于现有的Kill Chain和Mitre ATT&CK框架,总结了更加简洁和适用的四阶段理论框架,在这个框架的基础上分析了载荷投递和横向移动阶段攻击者最常使用的攻击手段。并通过仿真实验根据这四个阶段重现了以挖矿为目的的APT攻击,从而验证了本文攻击面分析的安全性。（2）针对载荷投递阶段使用的钓鱼邮件发送恶意软件的行为设计了邮件网关和SMTP探针从邮件头、邮件正文、邮件附件几个方面来对常见的恶意软件组合进行分析,同时还支持从流量中还原邮件的功能。针对攻击者利用SMB协议进行横向移动的行为,设计了SMB流量探针和主动防御蜜罐,SMB探针支持从流量中发现基于SMB协议的文件共享等疑似的横向移动行为,同时主动防御探针利用虚拟的Honeytoken可以有效阻止横向移动中的哈希传递攻击,通过仿真攻击实验,可以很明显的从流量及日志中发现攻击行为。（3）无论是被动流量探针还是主动防御蜜罐其本质还是截获攻击者在发动攻击过程中使用的攻击样本,基于这些攻击样本提出了一种沙箱执行的检测方法,通过沙箱隔离运行恶意软件,然后将运行时调用的系统API作为输入,通过多视野的LSTM神经网络来预测恶意攻击的类别,并在不同视野的LSTM模型中引入了Attention机制来克服可能存在的无关API序列调用问题。实验表明模型在8分类的任务上能够达到90%的准确率和接近0.43的损失,与其他模型对比改进后的神经网络具有较高的准确率和较低的损失。