針對網絡通信監聽攻擊的主動防御手段有以下這些：

• 從邏輯或物理上對網絡分段：網絡分段常常被用于控制網絡廣播風暴，這種方法也是保證網絡安全的一項重要措施。網絡監聽只能在局域網中實施，即被監聽的主機與實施監聽的主機必須同屬一個網絡。黑客無法直接對遠程主機實施監聽。如果需要對遠程主機實施監聽，唯一可行的方法是在目標主機所在的局域網中控制一臺主機，并在該主機中安裝網絡監聽軟件，利用它來實施監聽。網絡分段有助于將非法用戶與敏感的網絡資源相隔離，一般將網絡劃分得越精細，網絡監聽軟件能夠收集到的信息越少。

• 交換機端口綁定：計算機固定的網絡，盡量將IP地址或MAC地址與交換機的端口相關聯，使得端口盜用、ARP欺騙等網絡監聽所依賴的攻擊手段難以實施。

• 采用加密技術：對網絡中傳輸的數據進行加密是對付監聽的有效辦法。數據經過加密后再進行傳輸，即使在傳輸過程中有黑客實施監聽，所獲取的也只是密文信息，黑客必須能夠破譯密文才能獲取具體的傳輸內容。加密技術能夠提升網絡安全，但它會在一定程度上減緩數據傳輸速度。因為發送方需要進行數據加密，接收方需要進行數據解密。通信中使用的密碼算法越復雜，造成的傳輸遲延就越明顯。通常只有比較重要的信息才會采用加密技術進行保護。例如，目前網上銀行大都使用SSL協議對通信數據進行加密，但是絕大部分普通網站在頁面瀏覽時通信數據都是明文傳輸。

• 采用加密技術：對網絡中傳輸的數據進行加密是對付監聽的有效辦法。數據經過加密后再進行傳輸，即使在傳輸過程中有黑客實施監聽，所獲取的也只是密文信息，黑客必須能夠破譯密文才能獲取具體的傳輸內容。加密技術能夠提升網絡安全，但它會在一定程度上減緩數據傳輸速度。因為發送方需要進行數據加密，接收方需要進行數據解密。通信中使用的密碼算法越復雜，造成的傳輸遲延就越明顯。通常只有比較重要的信息才會采用加密技術進行保護。例如，目前網上銀行大都使用SSL協議對通信數據進行加密，但是絕大部分普通網站在頁面瀏覽時通信數據都是明文傳輸。

• 網絡分段：在拓撲結構上從邏輯或物理上對網絡進行分段，其目的是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法監聽。

大數據的5v特征如下：

• 容量（Volume）：容量是指大規模的數據量，并且數據量呈持續增長趨勢。目前一般指超過10TB規模的數據量，但未來隨著技術的進步，符合大數據標準的數據集大小也會變化。大規模的數據對象構成的集合，即稱為“數據集”。不同的數據集具有維度不同、稀疏性不同（有時一個數據記錄的大部分特征屬性都為0），以及分辨率不同（分辨率過高，數據模式可能會淹沒在噪聲中；分辨率過低，模式無從顯現）的特性。

• 速率（Velocity）：速率即數據生成、流動速率快。數據流動速率指對數據采集、存儲以及分析具有價值信息的速度。大數據往往以數據流的形式動態、快速地產生，具有很強的時效性，用戶只有把握好對數據流的掌控才能有效利用這些數據。數據自身的狀態與價值也往往隨時空變化而發生演變，因此也意味著數據的采集和分析等過程必須迅速及時。

• 多樣性（Variety）：多樣性是指大數據包括多種不同格式和不同類型的數據。數據來源包括人與系統交互時與機器自動生成，來源的多樣性導致數據類型的多樣性。根據數據是否具有一定的模式、結構和關系，數據可分為三種基本類型：結構化數據、非結構化數據和半結構化數據。

• 真實性（Veracity）：真實性是指數據的質量和保真性。大數據環境下的數據最好具有較高的信噪比。信噪比與數據源和數據類型無關。

• 價值（Value）：價值即低價值密度。隨著數據量的增長，數據中有意義的信息卻沒有成相應比例增長。而價值同時與數據的真實性和數據處理時間相關。

安全評估的有效期一般為三年，評估結果一般在國家互聯網信息辦公室網絡安全協調局在中國網信網公布，無論是工業互聯網和普通互聯網都需每三年進行一次安全評估，特殊行業則按各省相關辦法進行，一般特殊行業安全評估為兩年進行一次一般都不會超過三年。

安全評估分狹義和廣義二種。狹義指對一個具有特定功能的工作系統中固有的或潛在的危險及其嚴重程度所進行的分析與評估，并以既定指數、等級或概率值作出定量的表示，最后根據定量值的大小決定采取預防或防護對策。廣義指利用系統工程原理和方法對擬建或已有工程、系統可能存在的危險性及其可能產生的后果進行綜合評價和預測，并根據可能導致的事故風險的大小，提出相應的安全對策措施，以達到工程、系統安全的過程。安全評估又稱風險評估、危險評估，或稱安全評價、風險評價和危險評價。

評估項目一般如下：

• 管理制度的評估

• 物理安全的評估

• 計算機系統安全評估

• 網絡與通信安全的評估

• 日志與統計安全的評估

• 安全保障措施的評估

• 總體評估

工控系統管理的困難如下：

• 嚴重漏洞難以及時處理，系統安全風險巨大：當前主流的工業控制系統普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞，而且近兩年漏洞的數量呈快速增長的趨勢。工業控制系統通信協議種類繁多、系統軟件難以及時升級、設備使用周期長以及系統補丁兼容性差、發布周期長等現實問題。又造成工業控制系統的補丁管理困難，難以及時處理威脅嚴重的漏洞。

• 工業控制系統協議缺乏足夠的安全性考慮，易被攻擊者利用：專有的工業控制通信協議或規約在設計時通常只強調通信的實時性及可用性，對安全性普遍考慮不足:比如缺少足夠強度的認證、加密、授權等。尤其是工業控制系統中的無線通信協議，更容易遭受第三者的竊聽及欺騙性攻擊。

• 缺乏違規操作、越權訪問行為審計能力：操作管理人員的技術水平和安全意識差別較大，容易發生越權訪問、違規操作，給生產系統埋下極大的安全隱患。實事上，國內ICS相對封閉的環境，也使得來自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操作成為工業控制系統所面臨的主要安全風險。因此，對生產網絡的訪問行為、特定控制協議內容和數據庫數據的真實性、完整性進行監控、管理與審計是非常必要的。

• 沒有足夠的安全政策、管理制度，人員安全意識缺乏：由于工業控制系統不像互聯網或與傳統企業IT網絡那樣備受黑客的關注，在2010年“震網”事件發生之前很少有黑客攻擊工業控制網絡的事件發生;工業控制系統在設計時也多考慮系統的可用性，普遍對安全性問題的考慮不足，更不用提制訂完善的工業控制系統安全政策、管理制度以及對人員的安全意識培養了。“和平日久”造成人員的安全意識淡薄。而隨著ICS系統在國計民生中的重要性日益重要以及IT通用協議和系統在工控系統的逐漸應用，人員安全意識薄弱將是造成工業控制系統安全風險的一個重要因素，特別是社會工程學相關的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。

• 面對新型的APT攻擊，缺乏有效的應對措施：APT(高級可持續性威脅)的攻擊目標更為明確，攻擊時會利用最新的0-day漏洞，強調攻擊技術的精心組合與攻擊者之間的協同;而且是為不達目的不罷休的持久性攻擊。近年來以震網為代表的針對工業控制系統的攻擊事件都呈現了這些攻擊技術特征。

• 系統相對孤立：在現有的體系下，各PLC主站本質上是一個個單獨的控制系統，各PLC主站之間只有必須的數據通信，缺少完整的前饋、反饋控制鏈，使得整個控制系統變成了獨立工藝的簡單組合。這樣的控制體系讓工廠生產工藝變成半自動化，部分代替人工運轉是沒有問題的，但是如果要提高效率或者實現全自動化是有缺陷的。這使得控制系統只停留在自動階段，還遠遠達不到智能階段。

• 增強系統安全性

增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略。分布式防火墻將防火墻功能分布到網絡的各個子網、桌面系統、筆記本計算機以及服務器PC上。分布于整個公司內的分布式防火墻使用戶可以方便地訪問信息，而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內部網、外聯網、虛擬專用網還是遠程訪問所實現與企業的互聯不再有任何區別。

分布式防火墻還可以使企業避免發生由于某一臺端點系統的入侵而導致向整個網絡蔓延的情況發生，同時也使通過公共帳號登錄網絡的用戶無法進入那些限制訪問的計算機系統。針對邊界式防火墻對內部網絡安全性防范的不足。

另外，由于分布式防火墻使用了IP安全協議，能夠很好地識別在各種安全協議下的內部主機之間的端到端網絡通信，使各主機之間的通信得到了很好的保護。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。特別在當我們使用IP安全協議中的密碼憑證來標志內部主機時，基于這些標志的策略對主機來說無疑更具可信性。

• 消除了結構性瓶頸問題，提高了系統性能

分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務器及終端計算機的不同需要，對防火墻進行最佳配置，配置時能夠充分考慮到這些主機上運行的應用，如此便可在保障網絡安全的前提下大大提高網絡運轉效率。

• 隨系統擴充提供了安全防護無限擴充的能力

因為分布式防火墻分布在整個企業的網絡或服務器中，所以它具有無限制的擴展能力。隨著網絡的增長，它們的處理負荷也在網絡中進一步分布，因此它們的高性能可以持續保持住。而不會象邊界式防火墻一樣隨著網絡規模的增大而不堪重負。

• 應用更為廣泛，支持VPN通信

其實分布式防火墻最重要的優勢在于，它能夠保護物理拓樸上不屬于內部網絡，但位于邏輯上的“內部”網絡的那些主機，這種需求隨著VPN的發展越來越多。對這個問題的傳統處理方法是將遠程“內部”主機和外部主機的通信依然通過防火墻隔離來控制接入，而遠程“內部”主機和防火墻之間采用“隧道”技術保證安全性，這種方法使原本可以直接通信的雙方必須繞經防火墻，不僅效率低而且增加了防火墻過濾規則設置的難度。與之相反，分布式防火墻的建立本身就是基本邏輯網絡的概念，因此對它而言，遠程“內部”主機與物理上的內部主機沒有任何區別，它從根本上防止了這種情況的發生。

Scap定制UDP協議方法包括以下四個階段：

• 構造一個數據包，該數據包構造方法和ACK構造數據包方法一樣。

• 使用UDP協議進行探測。

• UDP協議不是完全靠譜的，檢測方法是看能不能收到回應包。

• 如果收到回應包則說明UDP端口關閉或者非UDP端口。

查看udp()使用方法

UDP().display()
###[ UDP ]### 
  sport= domain
  dport= domain
  len= None
  chksum= None

我們可以看到目標回復我們的一個udp的數據包，這里的原理是我們發送一個udp,如果收到數據包回應，說明該端口不是關閉或者非udp端口，如果沒有返回數據包表示端口開放。我們判斷該主機存活。

SYNFlood攻擊防御手段有以下這些：

• 反向代理CDN：反向代理服務器位于用戶與目標服務器之間，但是對于用戶而言，反向代理服務器就相當于目標服務器，即用戶直接訪問反向代理服務器就可以獲得目標服務器的資源。同時，用戶不需要知道目標服務器的地址，也無須在用戶端作任何設定。反向代理服務器通常可用來作為Web加速，即使用反向代理作為Web服務器的前置機來降低網絡和服務器的負載，提高訪問效率。

• 采用高性能的網絡設備：抗DDoS攻擊首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。

• 盡量避免NAT的使用：無論是路由器還是硬件防護墻設備都要盡量避免采用網絡地址轉換NAT的使用，除了必須使用NAT，因為采用此技術會較大降低網絡通信能力，原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間。

• 充足的網絡帶寬保證：網絡帶寬直接決定了能抗受攻擊的能力，假若僅有10M帶寬，無論采取何種措施都很難對抗現在的 SYNFlood攻擊，當前至少要選擇100M的共享帶寬,1000M的帶寬會更好，但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M。

• 升級主機服務器硬件：在有網絡帶寬保證的前提下，盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，要保障硬件性能高并且穩定，否則會付出高昂的性能代價。

• 把網站做成靜態頁面：大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。

當今網絡安全主要特點包括如下方面：

• 保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

• 完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

• 可用性：指對信息或資源的期望使用能力，即可授權實體或用戶訪問并按要求使用信息的特性。

• 可控性：人們對信息的傳播路徑、范圍及其內容所具有的控制能力。

• 不可抵賴性：在信息交換過程中，確信參與方的真實同一性，即所有參與者都不能否認和抵賴曾經完成的操作和承諾。

• 整體性：網絡安全是整體的而不是割裂的，對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。

• 動態性：網絡安全是動態的而不是靜態的，網絡變得高度關聯、相互依賴，威脅來源和攻擊手段不斷變化。

• 開放性：網絡安全是開放的而不是封閉的，要立足開放環境，加強對外交流、合作、互動、博弈。

• 相對性：網絡安全是相對的而不是絕對的，要立足基本國情保安全。

軟件被防毒墻攔截解決方法有以下兩種：

• 關閉防毒墻：這種方法的前提是你所運行的軟件是你已知或者其安全性有所保證的，如果你對該軟件的安全性有所保證可以在關閉防毒墻后運行該軟件；

• 掃描軟件安全性：當軟件被攔截大概率是這個軟件內有病毒或者這個軟件自身存在一定風險，這種情況下可以將該軟件先行使用殺毒軟件活掃描工具進行掃描，確定無毒后在進行運行。

信息安全對經濟安全的影響主要表現在以下四個方面：

• 網絡與信息安全關乎國家經濟安全的全局：當今世界，信息已成為人類社會最寶貴的戰略資源，經濟社會的發展對信息資源和信息技術的依賴程度日益提高。一方面，隨著信息技術革命的發展和整體信息化的深入，社會經濟形態也將發生根本的變化，逐步從工業經濟向知識經濟轉變；另一方面，世界經濟全球一體化的趨勢，迫使各國在開放的大環境中增強與其他國家的經濟聯系和交流，經濟信息已成為國家經濟活動中不可缺少的紐帶。因此，經濟網絡與信息安全便自然成為經濟安全的核心，它保證著產業結構、就業人員結構和產品結構等的合理改造和優化組合，保護著工業、農業、商業、科技中的秘密以及金融、外貿和經濟戰略的安全，從而保障著國民經濟健康有序的發展。

• 信息產業發展狀況令人擔憂，國家經濟安全遭受直接損失：信息技術革命的蓬勃發展，不僅為經濟持續穩定增長提供了強大的物質技術基礎和手段，而且造就了經濟發展的新增長點—信息產業。信息產業具有強大的帶動性、關聯性、滲透性和擴散性，它的健康快速增長，會帶動整個國民經濟的持續穩定發展。只有信息產業安全，信息才能安全，我國的國民經濟才能安全運行，國家安全才有保障。但是，我國信息產業的發展狀況令人十分擔憂。目前，我國信息產業的自主開發能力還很低，許多核心部件仍為原始設備制造商所壟斷，關鍵部位幾乎完全處于受制于人的地步。

• 網絡經濟犯罪嚴重威脅國家經濟安全：信息技術的發展，促進了電子商務的突飛猛進，使得小到企業、銀行，大到整個國家的經濟業務實現了網絡化，世界經濟正在進入網絡經濟時代。但是，信息網絡是一把雙刃劍，它在為人類帶來巨大經濟效益的同時，也讓違法犯罪分子謀取巨大非法經濟利益的行為有機可乘，網絡經濟犯罪應運而生。

• 金融安全面臨更大挑戰：金融是現代經濟的核心，金融安全是國家經濟安全十分重要的方面。隨著國民經濟和社會信息化進程的全面加快，信息技術在金融領域得到了廣泛應用，網絡與信息系統的作用日益增強，已經成為金融業的關鍵基礎設施。

APT攻擊特征有以下這些：

• 極強的隱蔽性：APT攻擊與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合，在組織內部，這樣的融合很難被發現。

• 潛伏期長持續性強：APT攻擊是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環境中存在一年以上，他們不斷收集用戶信息，直到收集到重要情報。他們往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到充分掌握目標對象的使用行為。所以這種攻擊模式，本質上是一種“惡意商業間諜威脅”，因此具有很長的潛伏期和持續性。

• 目標性強：不同于以往的常規病毒，APT制作者掌握高級漏洞發掘和超強的網絡攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘，要遠高于普通攻擊行為。其針對的攻擊目標也不是普通個人用戶，而是擁有高價值敏感數據的高級用戶，特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。

• 技術高級：攻擊者掌握先進的攻擊技術，使用多種攻擊途徑，包括購買或自己開發的0day漏洞，而一般攻擊者卻不能使用這些資源。而且，攻擊過程復雜，攻擊持續過程中攻擊者能夠動態調整攻擊方式，從整體上掌控攻擊進程。

• 威脅性大：APT攻擊通常擁有雄厚的資金支持，由經驗豐富的黑客團隊發起，一般以破壞國家或大型企業的關鍵基礎設施為目標，竊取內部核心機密信息，危害國家安全和社會穩定。

建議最好是將病毒直接刪除，刪除病毒是指將病毒從計算機清除掉，清除以后改病毒則不會繼續存在計算機中，但這種情況適合已經確定這個是病毒文件而不是誤報，如果不是很確定是不是誤報可以先將病毒隔離起來，隔離是指計算機會劃分一部分空間將這些病毒軟件保存在其中，當病毒被隔離后只要你不自行去運行則是安全的，當確定他是計算機病毒后則將其從安全區刪除即可。

計算機病毒的生命周期有以下這些階段：

• 潛伏階段：該階段病毒處于休眠狀態，這些病毒最終會被某些條件(如日期，某特定程序或特定文件的出現，內存的容量超過一定范圍等)所激活。當然，并不是所有的病毒都經歷此階段。

• 傳播階段：病毒程序將自身復制到其他程序或磁盤的某個區域上，或者傳播到其他計算機中，每個被感染的程序或者計算機又因此包含了病毒的復制品，從而也就進入了傳播階段。

• 觸發階段：病毒在被激活后，會執行某一特定功能從而達到某種目的。和處于潛伏期的病毒一樣，觸發階段病毒的觸發條件是一些系統事件，譬如可以為病毒復制自身的次數，也可以是系統日期或者時間，如CIH1.2病毒于4月26日爆發。

• 發作階段：病毒在觸發條件成熟時，即可在系統中發作。由病毒發作體現出來的破壞程度是不同的：有些是無害的，有些則給系統帶來巨大危害。

Swift的重要特點有：

• 無限存儲。大而扁平的命名空間，高度可擴展的讀/寫訪問，能夠直接從存儲系統提供內容（從而可以減輕Web服務器的負載）。

• 多維可擴展性。支持橫向擴展架構（垂直和水平分布的存儲擴展）；以線性性能備份和存檔大量數據。

• 內置復制3×+數據冗余（相比RAID的2×）。可配置指定數量的賬戶、容器和對象副本，以實現高可用性。

• 利用標準商業硬件，不會形成對固定廠商的依賴，單位成本更低。

• HDD/節點即便發生故障也不會馬上感知，因為系統可以自我修復，可靠，通過數據冗余來應對故障。

• 賬戶/容器/對象結構。沒有嵌套，不是傳統的文件系統：針對規模進行了優化，可擴展到多個PB和數十億個對象。

• 輕松增加容量（不同于RAID調整大小）。輕松實現彈性數據縮放。

• 沒有中央數據庫。具備更高的性能，沒有瓶頸。

• 不需要RAID。有效地處理許多小的、隨機的讀寫操作。

• 內置管理工具。賬戶管理：創建、添加、驗證和刪除用戶；容器管理：上傳、下載和驗證；監視：容量、主機、網絡、日志搜集和集群運行狀況。

• 驅動審計。檢測驅動器故障，預防數據損壞。

• 過期對象。用戶可以設置對象的過期時間或TTL來控制訪問。

• 直接對象訪問。允許瀏覽器直接訪問內容，例如控制面板。

• 實時查看客戶端請求。及時了解用戶的請求。

• 支持S3API。利用為流行的S3 API設計的工具。

• 限制每個賬戶的容器。限制訪問權限以控制用戶的使用。

最安全的分配密碼密鑰的方式是是非對稱密碼體制，因為該方法算法強度復雜、安全性依賴于算法與密鑰但是由于其算法復雜，而使得加密解密速度沒有對稱加密解密的速度快。密鑰分配是指在不讓其他用戶獲得密鑰的條件下，將一個密鑰共享給希望交換信息的雙方的信息交互方法 。密鑰分配的目的有兩個：一是保證加解密系統對密鑰的使用需要，確保交換數據的安全；二是對密鑰實施高效快捷的分配，保證能夠及時建立共享密鑰。

非對稱加密算法工作原理如下：

1. A要向B發送信息，A和B都要產生一對用于加密和解密的公鑰和私鑰。

2. A的私鑰保密，A的公鑰告訴B；B的私鑰保密，B的公鑰告訴A。

3. A要給B發送信息時，A用B的公鑰加密信息，因為A知道B的公鑰。

4. A將這個消息發給B（已經用B的公鑰加密消息）。

5. B收到這個消息后，B用自己的私鑰解密A的消息。其他所有收到這個報文的人都無法解密，因為只有B才有B的私鑰。

APT 是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。辨別 Apt 攻擊主要從以下特點出發：

• 絕大多數 APT 攻擊方式都是先通過釣魚郵件或者木馬獲取計算機權限再進行攻擊，主要以竊取數據為目的。

• APT 攻擊難以追蹤且很難溯源，目前的追蹤方式只有監聽、流量分析、截獲數據和跟蹤。

• 幾乎所有 APT 攻擊都只能在事發后才能發現，無法提前檢測出。

• 對于現有的 APT 攻擊應對只能升級病毒庫，加密數據，更新補丁來防范，沒有更好地提前預知效果。

與普通攻擊不同的是，APT 攻擊在潛伏階段會持續很長時間，從幾個月到幾年甚至十多年不等。相同的是，他們都具有多階段性特征，但具體細節還是有所不同，通常普通攻擊一般流程為目標攻擊、遠程控制、實施破壞。除此之外，APT 攻擊還涉及情報獲取、信息挖掘、橫向滲透等。

普通網絡攻擊的目標可以看作是沒有針對性的攻擊，例如群發釣魚郵件，制作釣魚網頁，這種攻擊的成功率往往很低，只有當疏忽大意時，攻擊者才能得手。而 APT 攻擊是一種有針對性的攻擊，不會群體發送攻擊給受害者。攻擊者通過定向釣魚、SQL 注入等手段向目標進行打擊，從而找到目標的突破口。

在遠程控制方面，當普通攻擊的受害者打開釣魚郵件或者惡意鏈接，攻擊者一般會直接采取行動，馬上進行非法操作獲取利益。而 APT 攻擊則會利用此漏洞不動聲色的進行長期破壞、監聽活動，同時保證受害者與外界的正常通信，也保證自身高的隱蔽性不被受害者發現。

在實施破壞階段，一般的攻擊以獲取自身利益或一小部分人利益為目標，如盜取賬號、傳播負能量、制作輿論謠言等。與之不同的是 APT 攻擊一般帶有國家背景，并且以政治目的為核心，利用 APT 攻擊對方核心敏感大公司或者政府。

APT 攻擊的流程大致為：情報獲取 > 目標攻擊 > 遠程控制 > 橫向滲透 > 信息挖掘 > 實施破壞，其特點是攻擊多樣，長期潛伏，高度隱蔽，威脅巨大。由此可見 APT 攻擊的成本極高，只適合有政治背景、資金充足、高技術專業的團隊。