高持續攻擊的特征包括哪些方面

高級持續性威脅（APT）的特征如下：

• 潛伏性：這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。而這些發動 APT 攻擊的黑客目的往往不是為了在短時間內獲利，而是把 “被控主機” 當成跳板，持續搜索，直到能徹底掌握所針對的目標人、事、物，所以這種 APT 攻擊模式，實質上是一種 “惡意商業間諜威脅”。

• 持續性：由于 APT 攻擊具有持續性甚至長達數年的特征，這讓企業的管理人員無從察覺。在此期間，這種 “持續性” 體現在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網絡內部后長期蟄伏。

• 鎖定特定目標：針對性強，攻擊者不會盲目攻擊，一般會很有針對性的選擇一個攻擊目標。針對特定政府或企業，長期進行有計劃性、組織性的竊取情報行為，針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信，取得在計算機植入惡意軟件的第一個機會。

• 安裝遠程控制工具：攻擊者建立一個類似僵尸網絡 Botnet 的遠程控制架構，攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務器 (C&C Server) 審查。將過濾后的敏感機密數據，利用加密的方式外傳。

• 攻擊者組織嚴密：往往是一個組織發起的攻擊，可能具有軍事或政治目的，有時會與某個國家關聯在一起，而且背后往往有強大的資金支持。

• 手段高超：APT 攻擊的惡意代碼變種多且升級頻繁，結合尚未發布的零日漏洞，使得基于特征匹配的傳統檢測防御技術很難有效檢測出攻擊。

• 隱蔽性強：APT 攻擊者具有較強的隱蔽能力，不會像 DDoS 攻擊一樣構造大量的報文去累垮目標服務器，基于流量的防御手段很難發揮作用；在整個過程中都會使用高級逃逸技術來刻意躲避安全設備的檢查，在系統中并無明顯異常，基于單點時間或短時間窗口的實時檢測技術和會話頻繁檢測技術也難以成功檢測出異常攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。