在如今大数据的背景下,数据的交互速度成指数级别增长,互联网+已经逐渐深入到社会各个方面。网络技术、传统安全思维,尤其是逐渐增长的安全威胁已经成为全社会越来越关注的话题。因此,如何最大限度地抵抗攻击,尤其是针对APT攻击的防御是研究信息安全方向学者们一直思考的话题。高级持续威胁(APT)作为最难检测防御的攻击手段,多个国家政府和大型企业机构已被其攻击,受到了极大的损失。APT攻击手段是极为丰富的,是一种及社会工程学、恶意代码攻击、拒绝服务攻击等多种网络攻击模式形成的综合网络安全威胁。所以,这种攻击方式个人是无法完成的,主要是以政府行为作为幕后攻击操作者。因此,本文通过分析以往针对APT异常通信模型的检测的优缺点,利用学习的网络安全理论、大数据分析理论和IDS防御系统等知识,建立一个更加高效的检测模型。为以后研究人员利用大数据模型检测APT隐秘通信提供一个建设性思路。通过分析之前研究人员得出的APT隐秘通信特征和各种建模方法以及安全领域中提出的新想法为本文研究APT攻击检测提供了具体实施方法。详细阐述了APT隐秘通信的四大特征。并通过收集本单位网络端和主机端的日志数据应用DBSCAN基于密度的聚类算法对原始数据进行规范化处理降维。为了解决通信数据与终端匹配问题,建立IP地址与终端绑定收集库使IP与终端相互对应。再把预处理的日志数据通过改进的SA_LDA语义分析模型建模分析,并通过实验证明该模型有较好的鲁棒性。我们把数据处理,模型建立及实验数据中所得到的结果和信息组织成文章。基于SA_LDA建模的检测APT隐秘通信模型虽然是刚提出的理论技术,但实施起来并不复杂,对网络设备要求并不严格,可以较好的应用于现实检测环境中。