传统的攻击检测方法很难辨识出利用零日漏洞发起的高级持续性威胁（advanced persistent threat, APT）攻击活动.为此提出一种面向零日攻击检测的APT攻击活动辨识方法（APTIZDM），该方法由三个主要部分组成.第一部分态势觉察本体构建（CSPOC）方法进行物联网（IoT）系统中关键活动属性及特征的形式化描述.第二部分恶意C&C(command and control)DNS响应活动挖掘（MCCDRM）方法用于辨识APT攻击情境中的恶意C&C通信活动，并可有效控制活动辨识过程的范围与起始时间，从而减小计算开销.第三部分APT攻击情境中零日攻击活动辨识（ZDAARA）方法，其基于贝叶斯网络和安全风险传播理论，对系统调用信息进行关联分析，计算出各系统调用实例的恶意概率，可有效辨识出被入侵检测系统漏报的零日攻击活动.仿真实验结果表明，作为APTIZDM的核心内容，MCCDRM方法和ZDAARA方法都实现了较高的准确率和较低的误报率，协同完成了对APT攻击活动有效辨识.