近年来,高级持续性威胁(Advanced Persistent Threat,APT)已经对网络安全产生了巨大的损害。做为一种新型的攻击形式,APT攻击具有跨度时间长,隐蔽性更高的特点。APT的攻击者会在较长时间内,通过多种攻击手段的复合使用,对目标组织进行渗透、攻击,并潜伏、扩散、窃取机密。然而,现有的安全检测措施大多是基于单个时间节点的,这些安全检测措施还不能有效的应对APT攻击的变化趋势。针对APT攻击的阶段性,现有的研究对其攻击制定了多种不同的模型。而由于APT攻击中DNS流量的产生较多,现有工作多会通过检测DNS流量来检测APT的攻击行为。为了有效地检测APT,本文中对APT的各个阶段展开分析,总结特征,并通过DNS特征有效检测了APT攻击。本文首先通过对大量公开APT报告的分析,总结出了APT的典型攻击模型。接着将APT攻击划分为侦查,初始妥协,权限提升,保持存在,数据回传这五个阶段,其中权限提升和保持存在阶段统称为横向移动。对应APT攻击模型中的每个阶段,本文提出了一个攻击特征树模型。攻击特征树模型将APT各个阶段的攻击特征以及攻击特征之间的关联都有效地展现出来。然后,在现有同类研究工作中有关DNS特征的基础上,根据APT的攻击阶段划分,重点分析了在横向移动阶段和数据回传阶段DNS访问的特点,并从攻击特征树上提取了跨时间段的DNS行为特征。本文在从大型校园教育网中收集的99天DNS请求记录的后71天的1,157,236,653条数据中加入了APT的仿真攻击数据,使用半监督机器学习的决策树模型对特征、数据进行分析对比实验。实验结果以及调整参数后的对比实验都表明提取的横向移动及数据回传阶段中的DNS隐蔽特征可以有效检测APT的攻击行为。