本发明属于网络安全技术领域，特别涉及一种基于级联攻击链模型的APT攻击行为分析检测方法及装置，该方法包含：采集多源异构网络数据，以多个子攻击链的递归结构来表示攻击过程，通过子攻击链级联形式形成攻击链整体结构，构建级联攻击链模型；基于级联攻击链模型，对网络中APT攻击行为进行分析检测，重构APT攻击场景。本发明克服现有技术的局限性，有效识别和分析APT攻击行为，弥补现有分析方法中对于人工分析过度依赖的缺陷，提高攻击行为检测的准确性，便于在实际分析中开展应用。