【摘 要】随着网络空间局势向复杂性和多样化不断演进，网络攻击新老技术交替更迭，高级持续性威胁攻击正在成为其中最危险的一种手段，其复杂的攻击特性使得传统检测技术手段无法有效识别，因此针对高级持续性威胁攻击的检测技术正成为新的研究热点。本文首先结合高级持续性威胁攻击特征，分析其生命周期及各阶段特点；然后，归纳总结现有检测技术，同时对这些技术方法存在的优势和缺陷进行梳理分析；最后，预测高级持续性威胁攻击的未来发展趋势，并进行总结。

【关键词】高级持续性威胁；攻击特征；攻击检测；网络安全

引言

在网络空间博弈日趋激烈和国际局势变乱交织的背景之下，相比于传统攻击手段，组织性复杂、计划性高效、针对性明确的高级持续性威胁（Advanced Persistent Threat，APT）攻击手段正在占领更大的网络空间战场。据《全球高级持续性威胁（APT）2023 年度报告》披露，多个APT 组织频繁针对国内目标发起定向攻击，涉及政府、军工、科研、能源、航天等重点领域[1]。有些组织沿用以往攻击模式，而有的组织攻击手法特点呈现出一定的变化。近年来，APT 攻击技术与对抗手段发展交替上升，无数案例反复证明攻击检测识别是防御和加固的前提和依据，同时，这也是最难以实现的部分。

因此，本文基于对APT 攻击特征及过程的研究，对目前主流的APT 攻击检测技术进行分析，并结合APT 攻击发展趋势预判未来检测技术的发展方向。

一、APT 攻击特征及生命周期

（一）APT攻击特征

攻击目标明确。APT 组织通常针对在政治、军事、经济上具有高价值的目标进行攻击，从近年来APT 攻击活动整体来看，政治领域是其重点关注对象，APT 攻击与国家行为结合逐渐明显，攻击者将对于国家安全和经济运行至关重要的关键信息基础设施作为目标，在2023 年全球披露的APT 相关活动报告中，涉及政府机构及国防军事相关的攻击事件占比高达40%。此外，金融部门、黑灰产业因其产生的巨大经济价值也逐渐成为新的攻击目标[2]。

攻击过程隐蔽。APT 攻击的隐蔽性是其得逞的关键因素之一，攻击者在网络中的行为模式非常低调，他们会采取多种手段来掩盖攻击行为。例如，攻击者会采用数据加密、数据分割等手段来规避内容检测；利用隐秘隧道技术来躲避入侵检测系统；使用伪造的签名来伪装恶意代码以欺骗主机上的安全软件。而在攻击得手后，攻击者会尽量清理其在系统中留下的痕迹，避免事后被发现、溯源。同时，由于攻击者往往不急于立即获取目标数据，而是要在目标系统中长期潜伏收集信息，这使得APT 攻击更加难以被发现。

攻击技术高级。APT 攻击者通常有着高超的技术水平和丰富的经验。他们通常会花费大量时间和资源来搜集目标系统的信息，了解目标网络的架构、配置、员工信息，以此来针对目标开发、使用“定制化”的工具，结合社会工程学、零日漏洞、横向移动技术、无文件攻击等手段，突破传统的检测防御设备。此外，攻击者们还会不断开发新的恶意软件、采用新的渗透手段等方式来更新“武器库”，以适应不断变化的网络环境。

持续时间长。攻击者为攻破目标达成目的，往往会耐心地等待最佳时机并尝试各种方法入侵目标网络，它们不断变化攻击策略和手段，以此来适应不断更新的网络环境。而即使是入侵成功，它们也不会像很多计算机病毒那样迅速进行破坏达到目的，而是会选择潜伏，默默收集信息和部署后门，以便能够长期控制并不断窃取数据。例如：2023 年6 月，安全厂商卡巴斯基披露了一个针对全球范围内利用iOS 系统中iMessage 信息服务的0-click 0day 漏洞，这是近十年来最顶尖的国家级APT 攻击活动。研究表明，该攻击活动至少开始于2019 年，多年来已涉及国内大量受害者。

（二）APT攻击生命周期

结合过往APT 攻击事件来看，APT 攻击并非一蹴而就、一击即中，而是一个复杂且多阶段的过程，这些阶段环环相扣，攻击者会根据前一阶段的成果来准备和判断接下来的行动。

1. 侦察与收集

APT 攻击的第一步就是目标的情报侦查与收集。为了在安全防护严密的系统中寻找切入点，攻击者会广泛开展信息收集工作，包括目标的网络架构、人员信息、系统软硬件版本、安全防护体系等。