设施，并最终使伊朗布什尔核电站推迟启动；2011年9月发现的Duqu病毒，被用来从工业控制系统制造商收集情报信息，目前已监测到来自法国、荷兰、瑞士及印度等8个国家的6家组织受到该病毒感染；2012年5月发现的Flamer攻击，相对于Stux
et攻击复杂数十倍，被称为有史以来最复杂的恶意软件，而且据猜测其已经潜伏了数年，据报道遭受Flamer攻击的国家包括伊朗（189个目标）、巴勒斯坦地区（98个目标）、苏丹（32个目标）、叙利亚（30个目标）、黎巴嫩（18个目标）等。当然，安全专家认为一定还有APT攻击没有被人们发现，还有更多的公司由于种种原因而没有公布它们遭到APT攻击以及造成的损失。可以说，APT攻击已经成为近几年给国家、社会、企业、组织及个人造成了重大损失和影响的攻击形式，安全企业以及一些学者对APT的研究给予了极大关注。RSA、迈克菲（McAfee）、澳大利亚安全公司Comma
dFivePtyLtd、趋势科技、瑞星、金山、启明星辰、安天实验室等国内外安全企业报道了APT攻击的事件，分析并公布了部分攻击代码，提出了一些防御APT攻击的思路和架构。学者对APT攻击的研究相对偏少，主要集中在分析攻击过程和具体防御技术两方面，例如Fra
kieLi等利用静态和动态分析技术对发生在香港的一次APT攻击样本进行了具体研究，但是由于样本不足，只分析了钓鱼邮件的附件；AdityaKSood等总结了GhostNet、Operatio
Aurora、Stux
et三种APT攻击的一般过程，对于防范APT攻击只给出了一些传统的防御措施；陈剑锋等分析了APT攻击步骤，并从响应、检测及预防三个层次给出了防范策略。本文首先给出了APT攻击的定义及产生背景，接着分析了APT攻击的典型特征和攻击过程，最后给出了关于APT的整体防御模型。2APT的概念及产生背景21APT的定义美国国家标准技术研究所（NIST）对APT的定义为：攻击者掌握先进的专业知识和有效的资源，通过多种攻击途径（如网络、物理设施和欺骗等），在特定组织的信息技术基础设施建立并转移立足点，以窃取机密信息，破坏或阻碍任务、程序或组织的关键系统，或者驻留在组织的内部网络，进行后续攻击。我们可以从“A”、“P”、“T”三个方面来理解NIST对APT的定义：
f龙源期刊网httpwwwqika
comc
1）A：技术高级。攻击者掌握先进的攻击技术，使用多种攻击途径，包括购买或自己开发的0day漏洞，而一般攻击者却不能使用这些资源。而且，攻击过程复杂，攻击持续过程中攻击者能够动态调整攻击方式，从整体上掌控攻击进程。2）P：持续时间长。与传r