APT攻击是一种有针对性的、隐蔽的、对组织信息资产进行持续性破坏的网络攻击,攻击者通常拥有精湛的技术和丰富的资源,会使用各种方法来获取对目标网络内系统的控制或未授权访问,并逐渐蔓延至整个网络。与传统的网络攻击所不同的是,它们不会中断正常的服务,而是主要长期潜伏在目标的网络系统内窃取敏感信息、机密数据或进行暗中破坏,对组织的正常运行和信息资产造成严重的威胁,所以,及时准确地检测并阻断潜在的APT攻击显得尤为重要。本文将APT攻击中钓鱼邮件与恶意PDF文档结合使用的攻击方法作为研究对象,通过对大量APT攻击案例的分析,归纳并总结了PDF文档在APT攻击中利用方式发展变化的不同阶段。基于恶意PDF文档在攻击中使用方式和结构特征上表现出的相似性,我们将其作为APT攻击检测中的检测对象。本文着重分析了目前流行的基于机器学习的恶意文档静态检测方法,结合已有的针对机器学习攻击相关技术与方法,探讨了在APT攻击场景下恶意PDF文档逃逸检测的模仿攻击和反向模仿攻击,并将其作为检测过程中需要解决的一个问题。针对逃逸攻击中攻击者的知识和能力,本文从模型的训练数据集、特征选取和算法选择上分别进行设计和改进,使得在检测恶意PDF文档的同时能有效地抵抗类似逃逸检测的攻击。通过在Contagio数据集上的实验,我们所设计的模型不仅在恶意PDF文档的检测上取得了较高的准确率,同时也验证了其对逃逸攻击的抵抗性。