关键词：apt 可信业务流 检测方法 

摘要：在APT攻击过程中，突破目标系统的防御机制后，下一步是在目标系统网络内部持续渗透，控制更多的主机并搜集有价值的数据。通常情况下，持续渗透阶段在网络内传播的未知恶意攻击检测是困难的。本文以生产网为研究对象，利用生产网流量相对可控的特点，提出了一种未知威胁检测方法。该方法基于业务归并网络流量，通过将流量分为可信流量和非可信流量，不断缩小攻击流量的范围并最终实现未知恶意攻击识别。通过原型系统在生产环境的测试表明该方法是可行的。

电子测试杂志要求:

{1}参考文献是作者写作论文时所参考或引用的文献，按其在正文中出现的先后次序列在正文之后，并在正文对应处右上角用阿拉伯数字标注“[序号]”（上标形式）。

{2}每篇文稿必须包括中英文题名、作者名、作者单位、邮政编码、摘要和关键词、中图分类号、正文、参考文献及作者简介。研究生论文须注明导师为通讯作者，并提供通讯作者简介。

{3}文章主题明确，数据可靠，书写准确，图表清晰，文字简练，内容齐全完整。来稿应含以下部分：中英文题名、中英文摘要、中英文关键词、中图分类号（本编辑部亦可代查）、正文以及必要的图表、参考文献。

{4}作者个人信息，包括姓名、出生年月、籍贯、学位、职称、现工作单位、主要职衔、主要研究方向和主要科研成果、通信地址、邮政编码、联系电话、传真、E-mail等重要信息。

{5}来稿请附300字左右的内容摘要、3-8关键词。

注：因版权方要求，不能公开全文，如需全文，请咨询杂志社