随着网络的开放性、互联性和共享性程度日益扩大,政府、机构和企业的大量设备接入互联网,其蕴含高价值信息的设备和系统,成为了黑客攻击的首要目标。黑客利用社会工程学方法以及Oday漏洞对系统进行入侵,并长期潜伏、不断搜索和窃取高价值的信息。这种攻击方式称为高级持续性威胁(APT,Advanced Persistent Threat)。这些高级技术的使用以及长期潜伏策略,使得传统的网络监测、审计技术和防护体系无法对APT攻击进行有效的检测、追踪和分析。论文对APT攻击生命周期的不同阶段进行分析,选取APT攻击的远程控制阶段和数据回传阶段作为研究的切入点,分析的对象为真实的APT攻击样本流量。论文收集了大量的APT恶意软件,通过在本地沙盒中运行并采集其流量进行分析。针对分析出的特征,提出了 APT攻击检测系统的体系结构设计,而论文主要实现其中的周期性分析和关联分析部分,论文的主要研究内容如下:1 APT攻击的流量特征挖掘及检测系统的体系结构设计:研究的对象是真实的APT攻击样本流量,通过对其进行分析,挖掘出APT攻击在通信流量上的共性,并以此共性作为主要的检测依据,对APT攻击的检测系统体系结构进行设计;2.基于周期性分析的APT攻击检测方法的实现:通过对APT攻击样本流量的周期性进行分析和总结,提出了基于TCP数据、DNS数据的周期性,以及其端口使用异常的APT攻击检测方法,简称为APDM(APT Periodicity Detection Method),论文通过实验结果和对比实验验证了该方法的有效性;3 APT攻击的时空关联性分析:包括关联规则挖掘和历史数据回溯。对于前者,基于FP-Growth关联规则挖掘算法对APT攻击的时间特征、空间特征、类别特征进行关联规则挖掘,分析APT攻击特征之间的联系,结合APT攻击的特点在语义上对挖掘出的规则进行了解释;而对于后者,基于BloomFilter算法提出了 APT攻击的历史数据回溯方法,该方法能够基于较少的存储空间,对历史数据是否在当前的数据集合中给出快速的判断。