随着计算机网络技术的广泛应用，信息安全已成为网络信息保障的核心关键问题。以高级渗透和传播技术为手段，具有极强隐蔽性以及持久性特点的APT攻击业已成为目前威胁网络安全的最大隐患。针对APT攻击的网络防御也成为当前网络信息安全防护的热点和难点问题之一。本文结合窃密APT攻击案例以及部分APT攻击样本数据包，对APT攻击实施的各阶段所存在的通信行为进行了分析，并据此提出了一种基于节点通信行为异常指数的窃密APT检测方法，并搭建了仿真实验平台对所提的方法进行了验证。论文开展的主要研究工作如下:　　(1)通过对典型APT攻击的深入分析，系统性地将窃密APT攻击划分为五个阶段，即信息收集期，恶意程序感染初期，潜伏Ⅰ期，潜伏Ⅱ期和撤离期。并结合已知的APT攻击案例和APT通信数据包样本，对各个阶段APT的异常通信行为特点进行详细地分析。　　(2)设计了包括数据包基本信息提取、连接和会话分析、网络通信行为特征提取、节点感染风险分析以及检测结果告警五个模块组成的窃密APT检测系统。对网络数据包的处理和感兴趣信息的提取方法进行介绍，针对内网和外网通信异常特点，构建了共计13种异常通信行为特征，并分别给出了每种特征的统计和计算方法。　　(3)提出了一种基于节点通信行为异常指数的窃密APT检测方法。该方法包括节点异常通信行为判定和内网节点感染指数的计算方法。其中，阈值的判定主要采用基于正常网络通信数据的观测数据通过引入一定的裕度来得到;权值的设定当前主要依赖分析和经验;感染指数的计算过程中引入了相邻窗口的动态阈值机制，用于消除单个窗口内虚警的影响，且能在当前窗口保留对历史观测风险的结果。　　(4)在实验室环境中搭建了APT攻击模拟实验平台，设计了APT通信行为的仿真模拟程序，可模拟异常的DNS请求、文件传输、远程控制和内网扫描。利用仿真平台对所设计的基于Libpcap和MySQL设计的窃密APT攻击检测系统进行了实验测试，结果表明了本文所提出的基于异常通信行为的检测方案的可行性。　　论文最后对全文进行了总结，并对未来值得进一步研究的问题进行了展望。