近年来网络攻击技术持续快速的发展使得网络安全形势变得更加严峻。高级持续性威胁的破坏性与威胁性与日俱增。鱼叉攻击是近年来提出的新概念,用来描述有针对性的网络攻击。高级持续性威胁愈加频繁地使用鱼叉攻击来对目标网络进行渗透。它是网络钓鱼攻击的高级形式,是社会工程学和恶意代码结合的产物,被广泛用于实施敏感数据窃取,网络设施控制。鱼叉攻击检测技术是前期防御高级持续性威胁的关键技术之一,能在主要攻击实施之前拦截并预警网络攻击。现有的鱼叉攻击相关研究较少。传统的钓鱼邮件检测技术重点放在对钓鱼网站的检测。鱼叉攻击主要通过复杂的恶意代码而不是传统的钓鱼网站来实施攻击。并且鱼叉攻击充分利用社会工程学,使得传统的钓鱼邮件特征有效性不足。因而钓鱼邮件检测技术对新型鱼叉攻击的检测性能有限。针对以上问题,本文展开了针对高级持续性威胁中鱼叉攻击的研究。主要的研究内容如下:1.总结并归纳了高级持续性威胁的特点、主要流程。分析了其中的关键技术和目前主要的防御策略。以鱼叉攻击作为主要研究内容,提出了鱼叉攻击模型。该模型刻画了鱼叉攻击的特点、形式、详细流程、关键技术。2.高级持续性威胁中鱼叉攻击样本较少并且攻击形式频繁变化,不适合通过大规模样本分析后使用监督学习技术。本文提出了一种基于异常检测的鱼叉攻击检测方法。该方法主要由三个部分组成:基于启发式规则的邮件风险性评估利用鱼叉攻击邮件特征和关键词频率评估方法从发件人、链接、文件三个方面对邮件进行风险性评价。基于文本特征的邮件分类利用邮件文本和附件的特征对邮件进行分类,实现同一类邮件具有相似的主旨和文件形式的目的。基于信誉和文件类型的邮件异常检测继承了部分钓鱼邮件的特征,并提出了信誉特征、文件类型特征等新特征,使用异常检测技术来识别异常邮件。该方法对复杂邮件数据进行分类,从而提高邮件的规律性。对每一类邮件分别构建相应的异常检测模型,结合邮件风险性评估对鱼叉邮件进行识别。3.通过仿真实验,对比分析了该方法与传统网络钓鱼检测技术对鱼叉攻击邮件的检测能力。比起其它监督学习的方法,该方法不依赖于恶意样本的数量。在正常数据量充足的条件下,能够有更好的检测效果。实验结果表明该方法能有效地识别鱼叉攻击。