在信息全球化的背景下,网络空间成为国家主权的新疆域,围绕其展开的争斗活动不断升级,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。在众多的争斗形式中,出现了一种具有高级性、针对性、持续性以及阶段性的网络攻击形式,称之为APT（Advanced Persistent Threat）攻击。通过对近年来已报告的APT攻击事件的分析,可以看出,APT攻击的数量逐年增加,其攻击手段也不断变化,涉及的领域越来越广。然而,与之相适应的防御技术却升级缓慢,防御重点在被动防御的层面上。因此,研究一套能够主动防御APT攻击的技术对于维护网络空间主权、安全以及发展利益具有重要现实意义。论文第一章在研究当前网络空间安全形势的基础上,总结了传统APT攻击的防御流程及防御方式,分析了网络攻击的建模与预测技术的现状并深入研究其相关技术的优势及不足,最后给出了本文的研究方向、基本思路、组织结构与主要工作。论文第二章对涉及的三个相关技术基础进行分析并总结,分析其基本原理、基本方法以及基本结构并总结其对APT攻击的优势及不足,最后给出本文的改进方向及改进思路。论文第三章针对第一个子问题即路径建模问题,深入研究了APT攻击的阶段性特点,对原有杀链模型进行了丰富并改进,并基于Petri网,构建了APT攻击的通用Petri网模型（APTPN）。然后,以该模型为基础,提出一种能够以具体APT攻击的相关信息为输入,自动生成其Petri网模型的算法。该算法通过对输入信息的预处理,得到三个基础元集,再通过预置的七个逻辑推理,得到攻击元路径集并进行深度优先遍历,最终得到所有可能的APT攻击路径。算法的复杂度可以控制在O（N²）。实验通过搭建虚拟硬件、软件及网络环境,模拟谷歌极光攻击,利用该算法得到了极光攻击的Petri网模型APTPN-Aurora。论文第四章针对第二个子问题即初始路径生成问题,提出基于Open IOC的APT攻击初始路径生成算法,计算该攻击在T₀前已完成的初始路径。算法首先依据信息熵原理,通过判断去掉某一特征后样本总熵的变化将特征分成强特征及弱特征两类,其中强特征是对样本标识能力高于设定阈值的特征,而弱特征组合则是将区分能力低于阈值的特征以AND组合形成的组合特征,并根据连接原则将强特征及弱特征连接成该APT样本的逻辑表达式,然后依据T₀时刻得到的情报对模型中攻击路径的各个节点逻辑表达式进行判断,最后得到APT攻击的初始路径。论文第五章针对第三个子问题即路径预测问题,提出基于隐马尔可夫模型的APT攻击路径预测算法,计算模型中初始路径之后的攻击路径发生的概率。该算法引入融合后的报警信息,提出了当报警信息不足时的起点库所确定方法,并针对APT攻击样本数量少的问题,对原有隐马尔可夫模型参数的计算进行了改进,提出了基于AHP-模糊综合评价计算状态转移矩阵以及基于关联规则挖掘计算混淆矩阵的方法,最后通过计算起点库所后每个变迁的发生概率得到一条APT攻击路径的发生概率,达到预测的目的。实验计算得到了APTPN-Aurora的路径发生概率,并与真实极光攻击的攻击路径做对比,验证了算法的有效性。