高级持续性威胁（Advanced Persistent Threats,APT）是一种入侵时间长,隐蔽性高,攻击手法多样且多变的持续性系统入侵。这种威胁已经给企业、政府等组织带来沉重的损失。近期针对这种攻击的检测方法多是基于机器学习、深度学习和图方法来分析系统实体联系或用户、主机行为的。APT攻击在不断发展中的攻击技术是不断更新和变化的,针对APT特性的检测方法的提出是重要的。然而现有的大多检测方法或是针对某一状态下进行场景和行为分析,或是在时间维度上分析单一主机的行为变化。这些方法在面对不断变化的APT攻击中缺乏对其主要行为特性的充分考虑,即APT攻击本质上的两个特性,时间性和空间性。APT攻击在时间性上的行为特征表现在:正常主机的日常行为是相对规律的,而受损主机上的攻击者很难完全模仿受损主机的日常行为,从而受损主机的攻击行为与日常行为相比会产生一系列时间性的异常。APT攻击在空间性上的行为特征表现在:受损主机极有可能被其他受损主机入侵而来,并且持续渗透其他主机,则受损主机之间会有不可避免的空间联系。基于此本文提出了一种基于时空行为检测APT受损主机的方法。本文方法对APT攻击中普遍应用的身份验证行为进行检测。本文的主要工作如下:1.总结了APT攻击行为的时空特性,并提出了一种基于APT时空行为来检测受损主机的方法。2.建立主机验证图,用以分析主机间的身份验证行为,并从中提取主机每天的时间性特征;建立主机关联图,表示主机之间的身份验证关系和空间联系。3.利用LSTM对主机每天的身份验证行为特征进行处理,学习主机在一段时间内的身份验证行为模式或差异;利用GAT考虑主机在关联图中的邻居对其的特征影响,提取主机的空间特征。4.设计了由LSTM和GAT连接成的神经网络,考虑APT主机身份验证事件中的时空性行为。利用神经网络提取特征具有自动筛选重要特征的优势。本文的方法基于洛斯阿拉莫斯国家实验室（LANL）发布的公开数据集进行实验,最终实验结果的F1得分达到了0.961;同时本文也与同类工作做了比较,证明本文基于APT时空性的检测方法的提出对于APT的检测是有帮助的。