高級持續(xù)性威脅(Advanced Persistent Threat)是當(dāng)前信息安全產(chǎn)業(yè)界的熱點，在最近兩年的RSA大會中，APT都成為了大會上最受矚目的關(guān)鍵詞之一。

作為一種有目標(biāo)、有組織的攻擊方式，APT在流程上同普通攻擊行為并無明顯區(qū)別，但在具體攻擊步驟上，APT體現(xiàn)出以下特點，使其具備更強的破壞性：

(1) 攻擊行為特征難以提取：APT普遍采用0day漏洞獲取權(quán)限、通過未知木馬進(jìn)行遠(yuǎn)程控制，而傳統(tǒng)基于特征匹配的檢測設(shè)備總是要先捕獲惡意代碼樣本，才能提取特征并基于特征進(jìn)行攻擊識別，這就存在先天的滯后性。

(2) 單點隱蔽能力強：為了躲避傳統(tǒng)檢測設(shè)備，APT更加注重動態(tài)行為和靜態(tài)文件的隱蔽性。例如通過隱蔽通道、加密通道避免網(wǎng)絡(luò)行為被檢測，或者通過偽造合法簽名的方式避免惡意代碼文件本身被識別，這就給傳統(tǒng)基于簽名的檢測帶來很大困難。

(3) 攻擊渠道多樣化：目前被曝光的知名APT事件中，社交攻擊、0day漏洞利用、物理擺渡等方式層出不窮，而傳統(tǒng)的檢測往往只注重邊界防御，系統(tǒng)邊界一旦被繞過，后續(xù)的攻擊步驟實施的難度將大大降低。

(4) 攻擊持續(xù)時間長：APT攻擊分為多個步驟，從最初的信息搜集，到信息竊取并外傳往往要經(jīng)歷幾個月甚至更長的時間。而傳統(tǒng)的檢測方式是基于單個時間點的實時檢測，難以對跨度如此長的攻擊進(jìn)行有效跟蹤。

正是APT攻擊所體現(xiàn)出的上述特點，使得傳統(tǒng)以實時檢測、實時阻斷為主體的防御方式難以有效發(fā)揮作用。在同APT的對抗中，我們也必須轉(zhuǎn)換思路，采取新的檢測方式，以應(yīng)對新挑戰(zhàn)。