高级持续威胁（Advanced Persistent Threat,APT）因其针对性强、持续时间长、危害性高、难以检测和防护,对网络空间安全构成了极大的威胁。因此,如何对APT攻击进行有效检测是网络安全领域亟需攻关的一项难题。当前APT检测方法大多数是基于静态指纹特征和简单规则关联,较为依赖专家经验和人工辅助,存在以下三方面的问题:一是攻击行为特征分析不足,缺乏在大数据环境下,可有效实施的APT模型;二是在数据驱动安全的趋势和背景下,面对高维、海量的安全相关数据,缺乏有效的智能检测方法,攻击过程检测和场景重构的自动化能力不足,难以检测具备逃逸和攻击隐蔽能力的APT攻击;三是当前的网络安全架构弹性与安全管控能力不足,难以支撑基于数据安全驱动的APT检测方法实施。基于此,本文展开基于攻击过程的APT检测方法研究,创新点和主要研究工作如下。1.构建EP-IKC模型,实现了大数据环境下APT攻击特征的多维建模。该模型综合描述了 APT攻击的时间、空间和跨位面关联特性,具备对APT攻击能力和意图描述的能力,可对攻击的行为特征、行动顺序、技战术特征、危害性等方面进行定量的分析;在评估威胁模型的43个重要能力项上,EP-IKC模型具备38项能力,且拥有3项其它模型不可替代的能力。2.基于隐马尔可夫模型（Hidden Markov Module,HMM）,设计并实现了 APTWard检测方法,具备对完整APT攻击的高效检测和攻击场景自动化重构的能力。该方法引入基于FP-Growth算法的关联规则挖掘、基于HMM的隐藏事件挖掘与攻击过程检测、基于着色Petri网（Colored Petri Nets,CP-Nets）的攻击过程检测与攻击场景重构等关键技术,并创新应用堆栈自动编码器（Stacked AutoEncoder,SAE）算法,解决了高维数据特征场景下的HMM模型学习问题。实验评估结果表明,FP-Grwoth算法在计算复杂度上远小于Apriori算法,攻击阶段行为检测准确率可达92.75%;SAE-HMM在恶意事件、恶意事件序列检测准确率上,分别为89.67%、78.65%,优于GMM-HMM、DNN、SAE-KNN等模型;APTWard对攻击事件的检测成功率较高,达91.89%,具备对完整APT攻击检测和攻击场景重构的全自动化能力。3.实现并优化了元安全功能动态组合（Security Meta-Function Dynamic Composition,SMFDC）技术,增强网络动态编排防护能力,满足APTWard实际部署需求。为了降低服务动态组合过程的计算时延,以及提高安全服务组合的服务质量（Quality of Service,QoS）,引入了基于Trie的元安全功能组合搜索和基于QoS评估的安全服务推荐等关键技术,并实现了动态编排防护系统。实验结果表明,Trie型存储结构在安全服务组合搜索的时延方面,较经典的TST快17.5%、Hash树快26.7%;在安全服务组合结果的QoS评分方面,较Fresco高约110.3%;在系统总体性能方面,基于SMFDC的动态编排防护系统与原生软件定义网络系统相仿,可用于实际网络环境部署。此外,系统验证结果表明,动态编排防护系统可高效、便捷的部署蜜网、安全日志按需采集等服务,满足APTWard检测系统的相关需求。4.搭建APT攻击过程检测验证系统,实现对上述关键技术的试验验证。验证系统基于EP-IKC模型,利用SMFDC技术,集成实现了 APTWard检测系统,对基于FP-Growth算法的关联规则挖掘、基于HMM的隐藏事件挖掘与攻击过程检测、基于CP-Nets的攻击过程检测与场景重构、SMFDC等关键技术的可行性和有效性进行了验证。实验结果表明,该方法可在实际网络中有效部署,并且可高效实现智能化的APT攻击过程检测,以及全程自动化的APT攻击场景重构。