摘要：在APT攻击过程中，突破目标系统的防御机制后，下一步是在目标系统网络内部持续渗透，控制更多的主机并搜集有价值的数据。通常情况下，持续渗透阶段在网络内传播的未知恶意攻击检测是困难的。本文以生产网为研究对象，利用生产网流量相对可控的特点，提出了一种未知威胁检测方法。该方法基于业务归并网络流量，通过将流量分为可信流量和非可信流量，不断缩小攻击流量的范围并最终实现未知恶意攻击识别。通过原型系统在生产环境的测试表明该方法是可行的。

关键词：apt 可信业务流 检测方法 

单位：北京国电通网络技术有限公司 北京100070 国网辽宁省电力有限公司电力科学研究院 辽宁110006