高级持续性威胁(Advanced Persistent Threat)是当前信息安全产业界的热点，在最近两年的RSA大会中，APT都成为了大会上最受瞩目的关键词之一。

作为一种有目标、有组织的攻击方式，APT在流程上同普通攻击行为并无明显区别，但在具体攻击步骤上，APT体现出以下特点，使其具备更强的破坏性：

(1) 攻击行为特征难以提取：APT普遍采用0day漏洞获取权限、通过未知木马进行远程控制，而传统基于特征匹配的检测设备总是要先捕获恶意代码样本，才能提取特征并基于特征进行攻击识别，这就存在先天的滞后性。

(2) 单点隐蔽能力强：为了躲避传统检测设备，APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。

(3) 攻击渠道多样化：目前被曝光的知名APT事件中，社交攻击、0day漏洞利用、物理摆渡等方式层出不穷，而传统的检测往往只注重边界防御，系统边界一旦被绕过，后续的攻击步骤实施的难度将大大降低。

(4) 攻击持续时间长：APT攻击分为多个步骤，从最初的信息搜集，到信息窃取并外传往往要经历几个月甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。

正是APT攻击所体现出的上述特点，使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。在同APT的对抗中，我们也必须转换思路，采取新的检测方式，以应对新挑战。

(责任编辑：安博涛)