APT（AdvancedPersistentThreat），高級持續威脅，它是組織(特別是政府)或者小團體利用先進的計算機網絡攻擊手段對特定高價值數據目標進行長期持續性網絡侵害的攻擊形式。APT攻擊的原理相對于其他常見的網絡攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前，需要對攻擊對象的業務流程和目標系統進行精確的情報收集，在收集過程中，攻擊者會主動挖掘被攻擊對象受信系統和應用程序的漏洞，在這些漏洞的基礎上形成攻擊者所需的C&C網絡，此種行為沒有采取任何可能觸發警報或者引起懷疑的行動，因此更接近于融入被攻擊者的系統或程序。有人甚至認為；APT攻擊是各種社會工程學攻擊與各類0day利用的綜合體。下圖說明了一次常見的APT攻擊的過程：

防范APT攻擊難在哪兒

APT攻擊的操縱者經常會針對性的進行為期幾個月甚至更長時間的潛心準備，熟悉用戶網絡壞境，搜集應用程序與業務流程中的安全隱患，定位關鍵信息的存儲位置與通信方式。當一切的準備就緒，攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉移。

最新一次的APT攻擊效果技術試驗中，一組研究人員收集并分析了82種新電腦病毒，并在40種殺毒軟件產品中進行了測試。盡管這些產品多數都來自業內知名廠商，但這些傳統模式的殺毒引擎，對于收集到的82種電腦病毒初始探測率卻不足5%，問題的產生源于兩方面：一方面是以代碼特征為基礎的，傳統惡意軟件探測方式已經無法順應時代的發展，而另一方面則是以蠕蟲、木馬、0Day漏洞為手段的攻擊形式正在向復雜性更高的APT形式過渡。

而另據某網絡安全技術廠商的“最新網絡攻擊現狀”報告顯示，在發生APT攻擊活動的亞洲和東歐，有184個國家都擁有內部通信樞紐或數控服務器。攻擊期間，數控服務器以回調的方式與被感染的服務器保持聯通并被大量運行，使得攻擊者的惡意軟件下載和修改能夠躲過安全監測，從而竊取更多的數據，擴大目標組織攻擊面。

APT攻擊防范四大策略

在2013年的全球RSA大會上，APT防范再次成為熱點議題。在APT防范領域，國內外廠商也展出了最優秀的APT解決方案，他們的防范策略和解決方案可以概括為四類：

1、主機文件保護類：不管攻擊者通過何種渠道執行攻擊文件，必須在員工的個人電腦上執行。因此，能夠確保終端電腦的安全則可以有效防止APT攻擊。主要思路是采用白名單方法來控制個人主機上應用程序的加載和執行情況，從而防止惡意代碼在員工電腦上執行。很多做終端安全的廠商就是從這個角度入手來制定APT攻擊防御方案，典型代表廠商包括國內的金山網絡和國外的Bit9。

2、大數據分析檢測APT類：該類APT攻擊檢測方案并不重點檢測APT攻擊中的某個步驟，而是通過搭建企業內部的可信文件知識庫，全面收集重要終端和服務器上的文件信息，在發現APT攻擊的蛛絲馬跡后，通過全面分析海量數據，杜絕APT攻擊的發生，采用這類技術的典型廠商是RSA。

3、惡意代碼檢測類：該類APT解決方案其實就是檢測APT攻擊過程中的惡意代碼傳播步驟，因為大多數APT攻擊都是采用惡意代碼來攻擊員工個人電腦以進入目標網絡，因此，惡意代碼的檢測至關重要。很多做惡意代碼檢測的安全廠商就是從惡意代碼檢測入手來制定APT攻擊檢測和防御方案的，典型代表廠商包括FireEye。

4、網絡入侵檢測類：就是通過網絡邊界處的入侵檢測系統來檢測APT攻擊的命令和控制通道。雖然APT攻擊中的惡意代碼變種很多，但是，惡意代碼網絡通信的命令和控制通信模式并不經常變化，因此，可以采用傳統入侵檢測方法來檢測APT通信通道。典型代表廠商有飛塔。