近年来,随着网络攻击的发展变化,网络空间安全形势也越来越严峻。高级持续性威胁（Advanced Persistent Threat,APT）攻击作为目前发展最快的网络攻击之一,针对政府、国防、军工等重要部门进行攻击的现象越来越频繁,对网络空间安全造成威胁甚至危及国家安全。然而,APT攻击的先进性、隐蔽性、持续性给APT攻击的检测工作带来了极大的挑战。本文旨在实现不依赖于已知APT攻击模板的APT检测,基于控制论的智能方法,提出了一种因果关联辅助语义分析的机器学习检测方法,该方法聚合安全信息系统提供的告警日志,利用统计学平均因果效应（Average Causal Effect,ACE）方法自主挖掘告警事件之间的因果关系,并构建表示APT攻击场景的告警链。然后,利用潜在狄利克雷分布（Latent Dirichlet Allocation,LDA）模型对因果关联构建的告警链的语义上下文进行建模,捕捉告警链潜在攻击主题。最后,将语义增强的告警链转换为图结构,并采用基于门控图神经网络深度学习的方法提取告警链攻击意图,识别APT攻击场景。研究工作内容总结如下:1.提出了基于因果分析的高级持续性威胁告警链构建方法。该方法将采集的多源网络安全日志整理为按时间排序的告警序列,并采用平均因果效应方法从告警序列中自动挖掘两个事件之间的因果关系模板。之后,基于因果模板形成具有因果关系的超告警信息,最后根据超告警之间的因果传递推理出能够表示整个APT攻击场景的告警链。并在模拟的APT攻击告警日志集上测试了因果关联告警链构建方法,实验表明该方法支持在没有任何已知APT攻击模板的情况下挖掘到全部的APT攻击因果模板,并有效构建因果关联告警链,从而初步形成APT攻击场景。2.提出了高级持续性威胁攻击语义增强的分析方法。针对基于因果推理初步形成的APT攻击场景告警链,本文构建“词-文档”处理模型并采用LDA语义分析的方法发现告警链的APT攻击主题,进一步给出告警链本身以及告警链中每个告警和APT攻击的相关关系,以语义作为统一的评估标准再次清洗掉与APT攻击无关的告警链,便于机器学习集中处理相关性较高的告警信息以提高识别的准确率。此外,本文模拟不同日志集进行实验,分析了该方法的性能,并验证了 LDA方法分析告警链语义能够在因果关联生成的告警链基础上提高APT攻击检测的精确度。3.提出了基于深度学习识别高级持续性威胁攻击场景的方法。该方法将LDA分析得到的语义属性、时间属性嵌入每条告警链;将每条链的告警和告警之间的攻击策略依赖关系表示为图模型;采用基于图神经网络的深度学习方法,将告警链中各告警的攻击语义信息转化为APT攻击告警链的攻击意图属性标签,输出基于当前异常告警链样本库的最优APT攻击序列集合,从而识别出更准确的APT攻击场景。仿真实验说明,该方法能够在语义增强的告警链基础上更精确识别APT告警链。最后,在模拟的APT攻击数据集上将本文提出的方法和两种现有的检测方法进行比较。该比较实验验证了本文提出的基于语义增强的高级持续性网络攻击检测方法的检测准确性和攻击步骤定位的性能更好。本项研究采用网络安全公司提供的安全日志数据集模拟了 APT攻击日志集,验证了所提出的基于语义增强的高级持续性网络攻击检测方法,实验结果表明本文基于自主挖掘因果关系构建告警链,并辅助语义分析识别告警链攻击意图的机器学习检测方法能有效应对APT攻击重复、隐蔽和缓慢的阶段攻击模式带来的安全检测挑战。