自互联网问世以来,网络安全攻防之间博弈从未停止。近几年,互联网技术发展的同时,网络安全问题也在不断升级,其中高级持续性威胁最具代表性。APT攻击作为新兴的攻击手段,复杂多样的攻击行为给传统网络安全防御系统带来极大的检测难度。面向防御框架的研究在对未知的APT攻击中表现出明显的不足,针对恶意代码的研究在对代码特征进行提取时对运行环境有极高的要求,很难对APT攻击实现快速准确检测。因此本文针对APT攻击通信控制阶段中DNS流量特征以及TCP流量特征两方面,提出了以下检测方法。本文针对APT攻击中恶意软件获取C&C服务器IP地址的过程进行分析,根据恶意软件与C&C服务器进行反弹连接时发起的DNS请求报文,分析可疑的DNS流量。首先详细分析DGA动态域名生成算法,介绍C&C服务器的域名与正常域名之间的结构性区别,并且针对APT攻击的低频隐蔽时间跨度长等特点,提出域名自身特征和时间相关性特征。然后根据原始流量规模过大的特点,对原始DNS报文进行预处理,将正常流量从样本中去除,通过构建支持向量机SVM模型对DNS特征进行划分检测,筛选出可疑的DNS流量。最后计算域名信息熵对可疑域名进行排序,输出可疑域名,实现对APT攻击的防御检测。本文通过自对比实验来验证特征选取的有效性,并与其它模型进行对比实验,分析模型性能。本文通过对APT攻击中恶意软件与C&C服务器之间进行数据传输时的异常TCP流量特征进行分析,提出基于TCP流量时空特征的检测方法。对原始的TCP流量进行预处理,去除大量正常的流量并按照数据流划分流量。然后从TCP流量的时间特征和流量特征入手,构建C4.5决策树对流量进行筛选,过滤出可疑的异常TCP流量。最后通过周期性检测算法判断流量是否表现出周期性。本文通过分别去除大类特征进行自对比实验,验证特征选取的有效性,并与其它模型进行对比,分析检测性能。