随着互联网的迅猛发展,许多部门和企业的关键业务活动越来越多地依赖于网络,各种网络攻击和信息安全事件发生率在不断攀升。APT(advanced persistent threat)高级持续性威胁已成为针对高度机密的政府、金融企业、军事机构等高安全等级网络的最主要威胁之一。APT攻击主目的是窃取敏感数据信息,APT攻击一旦发生,会给受害主体带来严重的经济、信誉的重大损失。甚至会对国家战略安全造成重大威胁。APT攻击属于攻击时间链长,攻击方式隐蔽、攻击手段高级且不断升级的高级网络攻击行为,对APT整个阶段周期的检测时间复杂度高且需要更高的硬件配置,根据攻击时间链先后对APT攻击进行分阶段分析则能有效降低检测时间复杂度。论文对APT攻击周期进行阶段划分,分为定向情报收集、边缘内部主机入侵、建立监控通道、高级内部主机渗透、数据资源发现与上传、入侵痕迹清除六个阶段。APT攻击目的比较固定,其攻击中通信行为可找到一定规律,根据不同的阶段攻击行为,分析可能的攻击检测场景。在定向情报收集阶段提出针对关联网站的WebShell攻击场景,在建立监控通道阶段和数据资源发现与上传的阶段提出在入侵过程中的C&C(Command And Control)通信攻击场景的检测。论文的主要研究内容如下:1.针对关联网站的WebShell攻击场景的检测,现有检测方法主要是对WebShell源码进行检测且检测准确率偏低,本文主要对Web日志进行检测,日志记录中的APT攻击行为与正常访问行为在访问频次和连续访问度上有较大的区别,提出基于访问频次特征检测与连续访问度检测的两个检测算法对WebShell进行检测,通过这两个检测算法,一方面有效的提高了检测准确度,另一方面在无法获取源码的情况下也能进行检测,降低了检测数据来源的局限性。2.针对C&C通信攻击场景的检测,相对现有研究中检测时间复杂度较高的现状,本文根据同一恶意软件(族)进行下发控制命令时的通信流量有很大的相似度,提出基于下行流量中payload相似度的检算法对C&C通信进行检测,在较高准确率下有效降低时间复杂度。3.根据WebShell攻击场景和C&C通信攻击场景设计真实攻击实验进行验证,对WebShell攻击和C&C通信攻击检测取得了较高的准确率。对于WebShell检测,设定阈值为5‰时准确率达94%以上,对于C&C通信检测,设定相似度阈值为21%时,准确率达88%以上,两项检测指标准确率均比同类基本检测方法高。