随着信息技术的发展,人们的生活越来越便捷,网上银行、支付宝为金融行业注入了新动力,然而也带来了许多安全问题。与传统网络攻击相比,近年来高级持续性威胁APT攻击所带来的损失更大。APT攻击主要针对国家基础设施、机密信息以及大型企业的商业机密。它有别于传统攻击,具有持续时间长、攻击目标明确、隐蔽性强的特点,因此针对APT攻击的防御检测方法也需要重点研究。本文基于APT攻击的分析,提出了关于APT防御的方法,通过建立“立体化”APT攻击模型,将关注点集中在APT攻击的事件关联分析上,旨在通过分析关联事件,从而有效预测和检测出APT攻击。本文设计的基于关联事件的防御模型ADME包括了四大模块,分别是事件关联模块、决策系统模块、警报模块以及人工分析模块。各个模块分工合作、相互补充,关联模块的功能在于将各类事件进行收集、关联从而形成可疑APT攻击组合,然后由决策系统依据定义的规则进行赋值,警报模块则是将可疑APT组合的赋值结果与相应风险级别的阈值进行比较,从而判断是否需要发出警报。模型根据APT攻击的6个阶段设置了6个不同阈值,处于APT攻击初期阈值就越小,相反就越大,这种设置使得模型警报更加灵敏、高效。此外,本文还深入研究了基于关联事件防御模型的具体检测规则,根据APT攻击常常以SSL协议为“载体”进行加密传输的特点,考虑从检测SSL流量异常的角度出发来发现APT攻击。文章介绍了传统SSL流量异常检测的不足,提出建立基于SSL流量指纹识别的异常检测,旨在通过SSL流量的类型区分使得异常检测更为精确,为未来APT检测奠定了基础,文章重点阐述了SSL指纹识别方法。通过仿真实验,结果表明了所提出的检测类型的有效性和可行性。最后介绍了APT的发展趋势,从技术安全和管理安全两方面阐述防御APT攻击的思想。