本发明涉及信息安全领域，具体公开了一种APT攻击的识别和防护方法，通过对攻击程序行为规律分析、归纳、总结，并结合攻击程序识别专家判定攻击程序的经验，提炼成攻击程序行为识别规则知识库。研究程序行为关联分析技术，通过对程序行为的关联分析，识别程序意图，进行威胁情况判断，模拟专家发现新型攻击程序的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用攻击程序行为识别规则知识，实现自动判定新恶意行为，达到提前防御的目的。