一般來說APT攻擊有三個主要的環節：攻擊前奏，入侵實施，后續攻擊。

在攻擊前奏階段，攻擊者首先會做信息搜集的工作。通過搜集信息，攻擊者能夠很清晰的知道受害目標使用什么樣的應用、防御軟件，內部的人際關系，組織架構，核心資產可能存放在哪里。做完這些工作以后，攻擊者就會做些攻擊的準備。比如說攻擊者知道目標使用office，就專門去找office方面的漏洞;然后目標使用XX殺毒軟件，那就專門寫一個能繞過XX殺毒軟件的木馬;然后搭建入侵服務器，進行技術準備工作。做好技術的準備工作之后，攻擊者還會進行周邊的滲透，因為直接向敏感的目標發送郵件，用不可信的郵箱地址發過去，受害者可能不會打開它。攻擊者通過社交關系的調研，找到跟受害目標有業務關系的某個人，這個人的安全意識可能很差，那么攻擊者就先入侵這個人的電腦，然后再假冒他的身份向受害目標發送郵件，期望獲得受害目標的信任。

在入侵實施方面，攻擊者會使用各種各樣對應的技術手段來發起攻擊。可能是利用漏洞觸發，或者欺騙用戶去執行木馬，目的是在企業內部建立立足點。攻擊者即使只獲得一個權限很低的個人主機的權限，在企業內部也能獲得更多的信息，再利用它進行滲透提權，直到最后獲得核心目標主機的控制權。

在后續攻擊階段，攻擊者可以進行痕跡的隱藏，對敏感信息進行搜集，然后把搜集到的信息通過加密通道秘密的傳輸出來，避免被企業的審計系統所發現。同時，攻擊者還會做一些深度的滲透，滲透到內部，控制更多的主機之后，他可能會潛伏下來，即使他工作的這臺主機被發現，還可以利用其他主機再來持續的控制，這樣他就能長期的控制受害目標。

2010年，全球公布4651個漏洞，2011年公布4155個漏洞，2012年公布5297個漏洞，2013年(截止6月)公布2096個漏洞。漏洞嚴重程度以Adobe居首。每年公開的漏洞就有這么多，實際上被攻擊者掌握的、沒被公開的的漏洞更是無法統計。微軟發布的報告顯示，這些公開的漏洞被廣泛的利用在攻擊當中。

這里有一個重點問題，就是為什么我們檢測不到這種攻擊呢?2013年，美國知名安全培訓與研究機構SANS針對多款主流IPS進行測試，使用5年前的老漏洞MS08-067，采用了變形攻擊手段，結果沒有一個IPS能檢測出變形的攻擊。這說明我們現在檢測的能力、體系已經遠遠滯后于攻擊技術。

另一個案例是，2013年JAVA 0DAY暴露出來，產生了10多個變形樣本，漏洞發布者使用所有主流殺毒軟件來檢測這些樣本，大部分都只檢測到0個樣本，最高的也就檢測出來兩個攻擊的樣本。

為什么傳統的技術檢測不到APT呢?這是因為傳統的檢測技術主要在網絡邊界和主機邊界進行檢測。在網絡邊界我們主要靠防火墻，而防火墻并不能識別通道上的負載是惡意的還是善意的。而IDS、IPS雖然可以識別，但是它們基于的技術是已知威脅的簽名，當這個威脅發生了，我們知道了，我們去分析它的特征，然后把這個特征抽取出來，我們對它進行檢測。這種方法的問題是：第一，它檢測不到未知的漏洞、新的木馬;第二，攻擊者很容易對漏洞的定義方法和木馬進行變形，就檢測不到了。在主機邊界，殺毒軟件也存在同樣的問題。這就是當前檢測體系存在的最核心的問題。