高级延续性威胁(Advanced Persistent Threat)是当前信息安然财产界的热点，在比来两年的RSA大年夜会中，APT都成了大年夜会上最受谛视标关头词之一。

　　作为一种有方针、有组织的报复打击编制，APT在流程上同通俗报复打击行动并没有较着辨别，但在具体报复打击步调上，APT表现出以下特点，使其具有更强的粉碎性：

　　(1) 报复打击行动特点难以提取：APT遍及采取0day缝隙获得权限、经由过程未知木马进行长途节制，而传统基于特点匹配的检测设备老是要先捕获歹意代码样本，才能提取特点并基于特点进行报复打击辨认，这就存在先天的滞后性。

　　(2) 单点埋没能力强：为了遁藏传统检测设备，APT加倍重视动态行动和静态文件的埋没性。例如经由过程埋没通道、加密通道避免收集行动被检测，或经由过程捏造合法签名的编制避免歹意代码文件本身被辨认，这就给传统基于签名的检测带来很大年夜坚苦。

　　(3) 报复打击渠道多样化：今朝被暴光的驰名APT事务中，社交报复打击、0day缝隙操纵、物理摆渡等编制层见叠出，而传统的检测常常只重视鸿沟防御，系统鸿沟一旦被绕过，后续的报复打击步调实施的难度将大年夜大年夜降落。

　　(4) 报复打击延续时候长：APT报复打击分为多个步调，从最初的信息汇集，到信息盗取并别传常常要经历几个月乃至更长的时候。而传统的检测编制是基于单个时候点的及时检测，难以对跨度如斯长的报复打击进行有效跟踪。

　　恰是APT报复打击所表现出的上述特点，使得传统和时检测、及时阻断为主体的防御编制难以有效阐扬感化。在同APT的匹敌中，我们也必需转换思路，采纳新的检测编制，以应对新挑战。