随着网络信息技术的日益成熟与普及应用,依赖信息系统实施的网络攻击愈发多样且复杂,为全世界多国家、多领域、多行业的信息安全、财产安全、数据安全带来严峻挑战。高级可持续性攻击(Advanced Persistent Threat,APT攻击)是近年来新出现的一种新型网络攻击模式,具有隐蔽性、先进性、持续性等特征,能够对目标系统造成严重损害,使得现有安全防护技术面临严峻挑战。为及时、有效、准确地实现APT攻击的检测与防御,本文以APT攻击行为分析与防御决策为目标进行研究,具体研究工作如下:1.针对APT攻击行为多样、难以发现的问题,本文提出了一种APT攻击行为的分类与性能分析方法。针对APT攻击的阶段性特征,提出基于阶段特性的APT攻击行为分类框架,对APT攻击行为进行“细粒度”划分;研究选取影响攻击行为性能的关键因素,分析APT攻击机理,提出APT攻击行为性能评估方法,对不同类别的攻击行为性能进行对比与分析,全面了解APT攻击行为的本质特征。2.针对APT攻击持续时间长、攻击评估难的问题,本文提出了一种APT攻击链效能评估与攻击者能力量化方法。目前,APT攻击评估方法仅针对某一时刻、单个节点的攻击,且缺乏对攻击者能力的分析判断,难以对APT攻击进行全面了解和有效防御。依据APT攻击行为特征,设计APT攻击链识别算法,对某一特定范围的APT攻击数据在空间层面和时间层面上进行因果关联分析,对攻击行为进行关联识别,判别获取APT攻击链,并对攻击链效能进行量化计算,进而对攻击者能力进行合理有效的评估。3.针对APT攻击目标性强、监测防御难的问题,本文提出了一种基于信号博弈模型的APT攻击防御策略选取方法。目前,APT攻击大多针对特定目标进行实施,攻击行为伪装性强,攻击模式相关性弱,以数据挖掘为理论基础的防御决策方法难以应对,为此本文基于动态博弈理论,构建APT攻击信号博弈模型,引入时间因子,对攻击策略收益进行合理量化;求解模型的精炼贝叶斯纳什均衡策略,并以此为依据提出APT攻击防御策略选取算法,对有效防御APT攻击具有重要意义。