高档持续性要挟(Advanced Persistent Threat)是当时信息安全产业界的热门，在最近两年的RSA大会中，APT都成为了大会上最受注意图关键词之一。

  作为一种有方针、有安排的进犯方法，APT在流程上同一般进犯行为并无显着差异，但在详细进犯过程上，APT体现出以下特色，使其具有更强的破坏性：

  (1) 进犯行为特征难以提取：APT遍及选用0 day缝隙获取权限、通过不知道木马进行长途操控，而传统根据特征匹配的检测设备总是要先捕获歹意代码样本，才干提取特征并根据特征进行进犯辨认，这就存在先天的滞后性。

  (2) 单点荫蔽能力强：为了逃避传统检测设备，APT更垂青动态行为和静态文件的荫蔽性。例如通过荫蔽通道、加密通道防止网络行为被检测，或许通过假造合法签名的方法防止歹意代码文件自身被辨认，这就给传统根据签名的检测带来很大困难。

  (3) 进犯途径多样化：现在被曝光的闻名APT事情中，交际进犯、0day缝隙使用、物理摆渡等方法层出不穷，而传统的检测往往只重视鸿沟防护，体系鸿沟一旦被绕过，后续的进犯过程施行的难度将大大下降。

  (4) 进犯保持的时刻长：APT进犯分为多个过程，从开始的信息收集，到信息盗取并别传往往要阅历几个月乃至更长的时刻。而传统的检测方法是根据单个时刻点的实时检测，难以对跨度如此长的进犯进行相对有用盯梢。

  正是APT进犯所体现出的上述特色，使得传统以实时检测、实时阻断为主体的防护方法难以有用发挥作用。在同APT的对立中，咱们也有必要转化思路，采纳新的检测方法，以应对新应战。

  高档持续性要挟(AdvancedPersistentThreat，APT)，要挟着企业的数据安全。APT是黑客以盗取中心材料为意图，针对客户所发起的网络进犯和侵袭行为，是一种蓄谋已久的“歹意商业间谍要挟”。这种行为往往通过长时间的运营与策划，并具有高度的荫蔽性。APT的进犯方法，在于藏匿自己，针对特定目标，长时间、有计划性和安排性地盗取数据，这种产生在数字空间的偷盗...