随着信息价值的增长,一系列针对窃取信息资产的攻击不断发生,其中对企业最大的威胁之一就是APT(Advanced Persistent Threat:高级持续威胁),而对网络攻击行为的检测能力和对流量的深度分析能力是发现APT威胁的关键。本文对于常见的APT攻击过程和防御方法进行了全面深入的分析,基于APT攻击生命周期各阶段的特点提出了一种对其网络攻击行为进行检测的模型以及系统设计,完成的主要工作如下:(1)通过对大量已公开的APT事件技术解读报告的研究,挖掘众多APT事件中的共同点,总结出APT攻击生命周期中各阶段和与其对抗的维度。(2)针对APT攻击的隐蔽性,提出了一种通过“安全过滤漏斗”对网络流量进行层层筛选的方式,将隐藏在海量网络数据中的可疑数据筛选出来,这些单独的线索可相互联系起来构成证明攻击链条的证据。(3)对企业实际需求进行分析,并根据“安全漏斗模型”结合开源工具设计并实现了一套针对网络攻击行为的检测平台方案。(4)本文最后以常见的两种典型APT攻击流程为例,将攻击的全部生命周期在实验网中进行了模拟,并在APT检测平台中发现了其网络攻击行为的关键线索,取得了较好的效果,证明了该平台的适应性和可用性。本文利用合作的安全事件管理系统理念,协作的安全机制设计有效的分析检测技术,设计多信息来源辅助检测技术,搭建统一的情报分析系统将不同的安全设备有机的结合起来,从而改进传统的检测方式。通过可配置的入侵检测分析模型将原本独立的、琐碎的日志信息进行采集、分类、分级、存储,最终达到扩展感知能力,提高告警质量,对已知的网络攻击行为进行有效识别的目的。