随着网络攻击行为日益猖獗,攻击检测技术越来越受到学术界和工业界关注和研究,入侵检测系统广泛应用于对单步攻击行为的检测工作中,尤其是深度学习、数据挖掘等技术的快速发展,提供了更多技术方案,但也存在如何处理高维、不平衡数据和噪声数据,面对海量数据如何实现实时检测和分类等问题。另一方面,针对复杂的多步攻击,通过对告警数据的关联分析得到攻击者的攻击路径,然而多步攻击检测也面临一些问题,首先是攻击者可以变换攻击方法和顺序,躲过分析程序,其次,多步攻击检测技术需要收集大量的网络数据进行训练和测试,如何实时高效地分析出攻击路径是一个巨大挑战。针对上述问题,本文提出了一种基于CNN-LSTM-Attention模型的单步攻击检测方法和基于攻击链的多步攻击检测方法,具体如下:（1）提出了一种基于CNN-LSTM-Attention模型的单步攻击检测方法,在数据预处理阶段针对数据不平衡问题采取过采样的方法生成新样本,针对数据高维度问题采取自编码器进行降维,缩短了模型的训练时间,针对流量数据存在的时空特征,使用CNN-LSTM进行学习,并附加注意力机制,实验结果表明该方法能大幅减少模型训练时间,同时模型对测试数据的分类具有较高准确度、精确度、召回率和F1值。（2）提出了一种基于攻击链的多步攻击检测方法,利用ATT＆CK构建标准知识库,从真实数据集中构建攻击链,利用因果关联和时空规则对攻击链进行筛选获得更符合实际的攻击链模板,高效获取攻击路径并削减攻击路径的数量,同时定义了一种攻击链风险评估方法,为攻击行为的处理提供参考。（3）设计并实现了一个攻击检测原型系统,由单步攻击检测、多步攻击检测和攻击知识库三个模块组成,集成了本文提出的攻击检测方法,实现了对测试结果的可视化。