由于各行各业对IT系统的严重依赖，高级持续性威胁(Advanced Persistent Threat，简称APT攻击)对政府部门、研究机构、军事组织和行业企业均构成了巨大威胁，已成为目前信息安全领域防范的重点问题。APT攻击过程中的关键环节是利用未知漏洞突破目标防护体系，进而逐步扩散，长期潜伏，并窃取机密情报或实施破坏。传统的安全防御体系已经无法有效应对APT攻击特有的攻击模式和先进的恶意代码技术。针对这一问题，本文分别从APT恶意代码的检测、防御和分析处置三个方面入手，深入研究了针对APT攻击的检测与防御方法，形成的主要成果如下：　　1)总结了APT的典型攻击模式，提出了APT检测与防御的总体技术框架。本文通过对大量APT攻击案例和实现手段进行分析，总结了由信息收集、单点突破、远程控制、横向渗透和长期潜伏五个阶段构成的典型APT攻击模式，在分析各阶段实现技术原理的基础上，提出了APT检测与防御的技术框架，并指出其中的关键在于对未知漏洞利用的检测和防御。同时，考虑到APT攻击的处置需求和APT恶意代码中应用的分析对抗技术，应提升APT样本机理深度分析能力以提高APT攻击事件的处置能力。　　2)提出了一种基于异常控制流转移识别的漏洞利用过程检测方法。本文通过分析漏洞利用过程中的控制流转移异常，提出了一种不依赖于漏洞信息与恶意代码特征的未知漏洞利用过程检测方法。该方法通过动态识别合法指令区域并校验指令执行地址检测代码注入攻击;通过校验指令转移地址与统计指令序列长度检测代码复用攻击;通过分析程序异常信息发现失败的攻击尝试;并针对当前正常程序中普遍存在的“类攻击代码”问题提出了优化处理方案，有效降低了检测误报率。基于以上方法，实现了一套APT检测系统并完成了实验评估与实际应用部署，验证了方法的有效性与系统的实用性。　　3)提出了一种基于内存使用异常识别的未知漏洞攻击实时防御方法。APT漏洞攻击常通过堆喷射完成恶意代码布局，再利用漏洞篡改未受保护的代码指针，使得控制流进入恶意代码。本文通过分析堆喷射过程在内存使用方面的异常特征，提出了HeapChunk离散程度、典型Heap Chunk数量、典型Heap Chunk大小、Heap Chunk增长速度四项检测指标及相关检测策略。基于以上策略，本文实现了一套APT攻击防御原型系统，并完成了指标阈值测量、检测准确度测试和性能评估等实验。实验结果表明，本文提出的四项指标体系可准确识别基于堆喷射的恶意代码布局过程，从而有效阻断针对未受保护指针的攻击，弥补了当前主机防御体系的不足。　　4)提出了一种基于硬件虚拟化技术的APT样本机理深度分析方法。本文通过分析APT恶意代码在分析对抗、行为隐藏、检测规避等方面的技术特性，提出了一套针对性的恶意代码机理深度分析方法。基于硬件模拟器构建受控分析环境，从虚拟硬件层采集原始数据还原系统语义，并拦截指令翻译实现样本透明监控;利用虚拟硬件仿真鼠标操作、U盘读写等交互事件，并模拟硬件时钟加速唤醒样本等待，提高恶意代码样本的行为触发能力;结合指令异常分析与虚拟硬件监控，捕获恶意代码的上层函数调用、指令级漏洞攻击与底层硬件读写等多层级原始行为，通过关联分析获取准确的行为逻辑关系，提高恶意代码行为分析能力。最后，本文实现了原型系统并完成了真实部署应用，通过对多起真实样本的分析，验证了系统对APT样本的深度分析能力。