随着信息时代的到来和网络技术的飞速发展,当今社会产生了翻天覆地的变化,越来越多的人开始享受着网络技术所带来的便利,如微博、微信、Facebook、Twitter等的广泛使用。与此同时,很多组织、公司、政府机关等也越来越重视自身的网络建设。但是,伴随着网络技术的普及和飞速发展,多种新型的网络安全问题逐渐显现出来。尤其是近年来兴起的高级持续性威胁(APT,advanced persistent threat),它与传统的网络攻击方式存在显著的差别,对网络基础设施构成严重威胁,逐渐成为高等级安全网络的主要威胁之一。本文围绕着高级持续性威胁的检测和防御技术,分析了高级持续性威胁的特征,并提出了基于流量数据特征的检测方法,主要内容和贡献如下:1、介绍了高级持续性威胁的概况,包括攻击阶段模型和攻击特点。本文介绍了APT攻击阶段模型的相关工作,分析了两种常见的描述高级持续性威胁的攻击阶段模型。阐述了APT攻击的概念,指出了与表征APT攻击主要特征相关的三个主要阶段。结合三个主要阶段的攻击过程,详细分析了APT攻击的针对性、组织性、持续性、隐蔽性、间接性等特点。2、阐述了现有的APT攻击防御策略。本文详细阐述了现有的APT攻击防御策略,其中包括安全意识培训、传统防御机制、高级恶意软件检测以及异常行为检测。针对APT攻击初次入侵前的信息收集过程,本文指出要提高网络用户自身的安全意识,避免遭受网络钓鱼、仿冒诈骗等社会工程学方面的攻击。介绍了传统防御机制中的防火墙技术,比较和分析了计算机防火墙与网络防火墙的原理和结构。分别阐述了传统防御机制中基于主机的入侵检测系统和基于网络的入侵检测系统的工作原理,分析了它们在检测APT攻击时表现出的局限性。3、提出一种基于网络流量特征的APT攻击检测方法。本文在基于网络流量的入侵检测技术的基础上,提出了一种基于多种数据特征属性的入侵检测方法,通过机器学习中聚类和分类的相关算法构建入侵检测模型,实现了APT攻击中异常数据的检测。实验中分别使用了j48算法、NaiveBayes算法和k-means算法对源数据进行训练分类,构建了三种异常检测模型,并结合weka系统输出的评价结果绘制了相应模型的ROC曲线。本文综合分析了三种检测模型的ROC曲线,验证了基于网络数据特征的检测方法能够检测出APT攻击中的异常数据,并且达到了较高的精确度和极低的误判率。