高級持續性威脅(Advanced Persistent Threat)是當前信息安全產業界的熱點，在最近兩年的RSA大會中，APT都成為了大會上最受矚目的關鍵詞之一。

作為一種有目標、有組織的攻擊方式，APT在流程上同普通攻擊行為并無明顯區別，但在具體攻擊步驟上，APT體現出以下特點，使其具備更強的破壞性：

(1) 攻擊行為特征難以提取：APT普遍采用0 day漏洞獲取權限、通過未知木馬進行遠程控制，而傳統基于特征匹配的檢測設備總是要先捕獲惡意代碼樣本，才能提取特征并基于特征進行攻擊識別，這就存在先天的滯后性。

(2) 單點隱蔽能力強：為了躲避傳統檢測設備，APT更加注重動態行為和靜態文件的隱蔽性。例如通過隱蔽通道、加密通道避免網絡行為被檢測，或者通過偽造合法簽名的方式避免惡意代碼文件本身被識別，這就給傳統基于簽名的檢測帶來很大困難。

(3) 攻擊渠道多樣化：目前被曝光的知名APT事件中，社交攻擊、0day漏洞利用、物理擺渡等方式層出不窮，而傳統的檢測往往只注重邊界防御，系統邊界一旦被繞過，后續的攻擊步驟實施的難度將大大降低。

(4) 攻擊持續時間長：APT攻擊分為多個步驟，從最初的信息搜集，到信息竊取并外傳往往要經歷幾個月甚至更長的時間。而傳統的檢測方式是基于單個時間點的實時檢測，難以對跨度如此長的攻擊進行有效跟蹤。

正是APT攻擊所體現出的上述特點，使得傳統以實時檢測、實時阻斷為主體的防御方式難以有效發揮作用。在同APT的對抗中，我們也必須轉換思路，采取新的檢測方式，以應對新挑戰。