摘要：近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光，高级持续性威胁（APT）攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性，具有很强的破坏性，造成的攻击后果十分严重。然而，由于APT攻击方式多样化，具有很强的隐蔽性，传统的防护机制，包括防火墙、杀毒软件、入侵检测等很难发现APT攻击，或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型；同时设定时间窗，对多种攻击检测方法得到的攻击事件进行关联分析，并与APT攻击检测模型进行路径匹配，通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明，在攻击检测模型相对完整的情况下，对APT攻击的检测能够达到较高的准确率。

关键词：apt攻击检测 关联分析 路径匹配 时间窗 

单位：中国工程物理研究院计算机应用研究所 四川绵阳621900