如今,经验丰富的攻击者为了达成某种目的而实行有组织有预谋的高级可持续威胁攻击越来越多。这些攻击往往结合社会工程学（如钓鱼攻击）及多个技术先进的漏洞利用共同进行。而且攻击往往不是一蹴而就,而是包含多个攻击阶段逐渐达成目。除此之外,多个攻击阶段组成的攻击路径中往往包含着未披露的0-day漏洞,而这些漏洞的信息防御者无法获取,这种攻击者与防御者之间的信息不对称给带有未知攻击的多步攻击检测造成极大阻碍。因此,我们需要一种策略和方法发现含有未知攻击的攻击路径,检测多步攻击。为了解决上述问题,本文首先解析记录所有系统与内核交互行为的系统审计日志信息。然后利用解析的信息构建溯源图,并用图剪枝技术控制图规模。最后在图上发掘攻击路径,检测多步攻击。本研究的主要工作有以下几个方面:1、针对攻击隐匿,恶意行为与正常操作相互交织问题,构建基于版本的溯源图。本文通过制定规则在图上匹配攻击行为。找到各攻击阶段间的相互联系,设计多步攻击检测算法,发掘图中的攻击路径,揭示攻击者意图。2、针对海量图数据问题,利用图剪枝技术控制图规模。海量图数据不仅会造成系统较大的时间及空间开销,还会因搜索路径多,引起路径爆炸问题。本文利用图剪枝技术移除与攻击路径无关节点,控制图中节点数量。3、设计并实现了基于溯源图的多步攻击关联分析检测原型系统,可以有效检测多步攻击。系统应用标签传播的方法避免反复进行图遍历,提高系统效率。