针对企业内部业务逻辑固定、进出网络访问行为受控等特点,首先定义了2类共4种异常行为,然后提出了基于网络通信异常识别的多步攻击检测方法。针对异常子图和异常通信边2类异常,分别采用基于图的异常分析和小波分析方法识别网络通信过程中的异常行为,并通过异常关联分析检测多步攻击。分别在DARPA 2000数据集和LANL数据集上进行实验验证,实验结果表明,所提方法可以有效检测并重构出多步攻击场景。所提方法可有效监测包括未知特征攻击类型在内的多步攻击,为检测 APT 等复杂的多步攻击提供了一种可行思路,并且由于网络通信图大大减小了数据规模,因此适用于大规模企业网络环境。