计算机与网络技术的飞速发展和广泛应用,在给人们带来便利的同时,也带来了各种安全问题。近年来,以零日渗透、极具隐蔽性和持久性控制为主要特点的高级持续性威胁(Advanced Persistent Threat,APT)已成为网络安全领域关心的最大威胁,引起了业界和科学界的广泛重视。如何及时地发现我方网络中可能存在的APT攻击威胁,是防御APT威胁的重要问题之一。本文结合部分APT攻击案例和样本数据,针对APT攻击远控阶段的异常通信的行为特点进行了分析,在此基础上设计可实现异常远控通信检测的相关特征,并提出了应用性较强的基于机器学习的异常通信检测方法,并以该方法为核心,设计与实现了 APT攻击远控阶段异常通信的检测程序,通过实验验证了检测程序的有效性。具体来说,本文主要完成了以下工作:(1)通过对APT攻击远控阶段异常通信的深入研究,详细分析了被控主机通常利用域名生成算法(Domain Generation Algorithm,DGA)生成动态域名获取C&C服务器的IP地址的原因、DGA生成动态域名的工作原理以及与域名结构上与正常域名的不同;另一方面则从多个角度全面分析了在远控过程中,APT攻击的TCP通信行为与正常通信之间存在的差异。根据这些特点,提出了基于机器学习的异常通信检测方法。(2)根据对多种DGA动态域名和合法域名在字符特征上的分析对比,设计提取多项特征指标,并通过相关域名样本验证这些特征指标的区分能力,考虑到检测模型的精度和效率,利用特征选择算法确定了 11项用于实际检测DGA动态域名的特征指标。(3)针对远控阶段APT攻击异常TCP通信行为的特点,利用网络流量分析的方法确定了 TCP流作为特征提取源,然后设计提取了多项特征指标,并结合实际数据对这些特征指标的有效性进行分析,最后也利用特征选择算法确定了 10项最优的检测特征。(4)根据设计的特征指标,对比分析多种机器学习方法构建的检测模型的性能,最终确定DGA动态域名和异常TCP通信检测模型均为GBDT分类器。然后设计并实现APT攻击远控阶段异常通信的检测程序,该检测程序利用PF_RING的Libpcap接口实现对网络数据的捕获,并且设计了域名与IP白名单以降低检测程序的工作负荷和虚警率,并通过仿真实验验证了检测程序的有效性。最后,论文对全文进行了总结,并指出了下一步的研究方向。