近年来,持续进化的网络威胁环境带来了更为复杂的攻击场景。网络空间的攻击者不再像以往仅使用单一的攻击行为,而是在一个长期的过程中利用多种复杂的攻击相互配合来谋取非法利益,这类攻击模式被统称为多阶段攻击,其中攻击者的一系列攻击行为被合称为攻击链。本文的研究对象是一类特殊的多阶段攻击,在某些攻击阶段中的大部分攻击行为是作为佯攻起到吸引防御方注意或消耗其主要防守资源的目的,而作为攻击者真实攻击手段的剩余小部分主攻击在佯攻的掩护下将力图出其不意地达成攻击目的,这类多阶段攻击已成为严重威胁网络安全的重要因素之一。本文通过调研,发现现有多阶段攻击的检测方法并没有深入研究包含佯攻这类特殊攻击行为的攻击链,同时也缺乏检测该类攻击模式的专业数据集。面对这类特殊多阶段攻击亟需提出新的检测方法,达到检测此类攻击手段的目的。本文把对多阶段攻击中佯攻这类特殊攻击形式的研究实例化为对虚实攻击链的构造及检测。将佯攻定义为虚攻击,而在虚攻击掩护下达成真实目的的攻击定义为实攻击,通过将多阶段攻击检测方法与深度学习算法相结合来构造虚实攻击链,并实现对虚实攻击链的检测,以达到识别佯攻行为的目的。本文的主要创新点和贡献如下:(1)提出虚实攻击的概念,将多阶段攻击中佯攻这种特殊攻击形式具体实例化。利用基于属性相似度的模糊聚类方法构造佯攻行为所依托的基础攻击链。(2)提出基于CNN-HSVM的虚实原子攻击分类算法(Atomic Attack Classification,AAC),用其构建虚实原子攻击样本库,以解决缺乏研究佯攻攻击数据集的问题。(3)提出基于混合模型的虚实攻击链编码及检测算法(Coding and Detection Algorithm,CDA),用其将样本库中的虚实攻击事件同基础攻击链相结合构造虚实攻击链,最终对虚实攻击链建立检测模型。针对上述所提出的方法,本文使用加拿大网络安全研究院的CICIDS2017数据集来验证文中所提出的方法。在实验过程中,本文准确还原出多阶段攻击序列,并基于AAC算法构造出包含虚实攻击行为的攻击链,最终通过CDA方法建立了对包含佯攻行为的多阶段攻击检测模型,实验结果表明该模型的检测率达到80.7%,较好的实现本文的研究目标。