高级持续性威胁已成为网络空间安全对抗的主要形势,传统的网络防护技术效率无法满足需求。基于威胁情报的检测以其快速高效成为当前防范APT攻击的一种技术手段,也成为当前研究的热点问题。本文基于数据分析及机器学习方法对威胁情报数据进行挖掘和分类,从中发现恶意软件攻击特征,对当前高级持续性威胁的防护效率提升具有重要意义。本文主要工作如下:1.针对多源威胁情报采集,设计实现了三种方法,分别是:基于网络爬虫的可抵抗现有典型反爬策略的方法、基于邮件订阅解析的方法以及基于开源情报共享的方法;2.基于TextRank和FastText算法实现了针对威胁情报的自动化标注。所提出方法通过TextRank算法对威胁情报样本进行关键词提取并去除停用词,接着输入到FastText算法中,构建分类模型,通过实验和调参训练威胁情报分类模型,最后利用该模型实现对威胁情报的自动化标注;3.基于关键词关联方法对威胁情报进行关联分析,挖掘一则威胁情报从产生到消亡的生命周期,确定该情报在不同发展阶段的状态和形式,从而能够更加全面地理解威胁情报;4.基于威胁情报中提取到的35934条恶意域名,利用机器学习算法提取恶意域名特征,采用集成分类器训练恶意域名识别模型并进行检测。结果表明本文所设计的方法能够有效区分恶意域名和正常域名。最后,对本文工作进行了总结并给出了未来研究方向。