APT攻击是什么

APT（Advanced Persistent Threat），中文释义为高级持续性威胁，APT攻击是一种利用先进攻击手段对特定目标进行长期持续性攻击的攻击形式。
它的攻击原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT组织在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中，APT组织会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。
A（Advanced）：高级
意味着攻击者拥有更高级的全方位的情报收集技术和更高级的攻击手段。这些可能包括传统的情报收集技术、计算机入侵技术、会话劫持技术以及卫星成像等技术。APT组织一般会自己动手构建的恶意软件工具包，根据需要访问和开发更高级的工具。他们经常结合多种定位方法，工具和技术，以达到并保持对目标的访问。
P（Persistent）：持续性
APT攻击一方优先考虑某项具体任务，而不会投机取巧地寻求获取财务或其他收益的信息。这个意味着攻击者是由外部实体引导的。攻击的针对性是通过持续监控和互动来实现的，以达到既定的目标。这并不意味着需要不断的攻击和恶意软件更新的攻势。事实上，“低级”的做法通常更成功。如果APT攻击方失去对目标的访问权限，他们通常会重新尝试访问，而且通常是成功的。APT攻击方的目标之一是保持对目标的长期访问，而不会仅仅满足于短时间的访问权限。
T（Threat ）：威胁
APT攻击是通过团队协作来执行的，而不是通过无意识和自动化的代码。并且APT攻击方都有一个特定的目标，同时他们技术精湛，积极主动，有组织有目的，资金充足，所以有大多数的APT攻击都是针对其他国家的，也被视为一种间谍活动。

APT攻击特征

APT攻击与传统攻击不同之处在于：
它的攻击目的非常明确，相比而言，传统攻击选择的目标计算机是随机的，例如著名的“极光”攻击，在Google中攻击目标是源代码，而在索尼中攻击目标则是个人验证信息PII；
提供精心策划，对特定目标完成预定任务； 建立长期的攻击点，等待时机完成预定任务；
由专业人员精心组织，长期监控，攻击过程随着找到防御弱点动态调整，更有效的实现攻击目的；
通常采用专门设计的、攻击方法复杂、传统攻击检测技术难以检测到。

APT攻击方式

APT组织常用的攻击手法有：鱼叉式网络钓鱼、水坑攻击、路过式下载攻击、社会工程学、即时通讯工具、社交网络等

APT防御方法

基于沙箱的恶意代码检测技术——未知威胁检测
基于异常的流量检测技术——IDS（已知的特征库的检测）
全包捕获与分析技术
信誉技术
关联分析技术
安全人员的挖掘，提升安全防御技术