高持续这类攻击特征主要表现在哪些方面

高持续攻击特征主要表现在：

• 攻击行为特征难以提取：APT普遍采用0day漏洞获取权限、通过未知木马进行远程控制，而传统基于特征匹配的检测设备总是要先捕获恶意代码样本，才能提取特征并基于特征进行攻击识别，这就存在先天的滞后性。

• 单点隐蔽能力强：为了躲避传统检测设备，APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。

• 攻击渠道多样化：目前被曝光的知名APT事件中，社交攻击、0day漏洞利用、物理摆渡等方式层出不穷，而传统的检测往往只注重边界防御，系统边界一旦被绕过，后续的攻击步骤实施的难度将大大降低。

• 攻击持续时间长：APT攻击分为多个步骤，从最初的信息搜集，到信息窃取并外传往往要经历几个月甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。