高级持续性威胁（advanced persistent threat,APT）恶意软件是由APT攻击者开发,用于达成某些特定目的或针对某个特定目标的恶意软件,通常由APT攻击者用来发起APT攻击。APT恶意软件往往由某个APT组织所特有,其独特的危害行为体现了其所属APT组织的攻击方式。因此可以通过研究APT恶意软件的行为加深对APT攻击的理解和认知。目前的研究工作大多仅着眼于APT恶意软件的分类或识别算法,得到了较高的准确率,但是大部分同类工作的模型缺乏可解释性,无法量化模型检测的效果。本文以检测和防御APT攻击,探究不同APT恶意软件家族攻击手段的相似性和联系为目的,通过网络公开途径收集了几种著名的APT家族攻击过程中使用到的恶意软件,提出了一种基于系统调用特征并结合多种深度学习算法和迁移学习的APT恶意软件检测方法。本文主要工作如下:1、首先通过提取恶意软件的系统调用（Application Programming Interface,API）作为特征,利用自然语言处理（Natural Language Processing,NLP）领域的方法对特征进行处理,提高了APT恶意软件检测和分类的准确度。2、结合动态LSTM和Attention算法获取系统调用特征的向量表示,得到各API在不同APT家族的量化分类贡献度,使训练结果更加直观。3、使用了迁移学习对APT家族进行多分类,用以解决多分类样本数量少,特征量小的问题。本研究旨在减轻网络安全工作人员在防范APT攻击时对大量可疑文件或恶意软件进行审查的负担,通过对APT恶意软件的检测可以在APT入侵初期进行有效拦截,对特定的APT攻击进行针对性的防御。实验结果表明,本文的工作对普通恶意软件和APT恶意软件的二分类识别准确率达到99.2%,对APT恶意软件家族的多分类准确率达到95.5%,优于同类工作。