与传统网络攻击相比，黑客所发动的APTs（高级持续性威胁）是一个新兴的攻击类型。APTs会给企业和网络带来持续不断的威胁，能够发动APTs攻击的黑客，往往是一个有着良好纪律性的组织，作为一个专业团队集中进行网络活动。通常情况下，他们将宝贵的知识产权、机密的项目说明、合同与专利信息作为窃取目标。

　　发动APT的黑客在一般情况下所使用的方法便是用网络钓鱼邮件或其他的技巧来欺骗用户下载恶意软件。但其最终目的往往是极其核心的信息。若是发现一个非法入侵，但它唯一明显的意图就是去偷你企业的钱，那么这很可能不是一个APT攻击。那么真正的APTs攻击应该是什么样子呢？

　　因为APT黑客与普通黑客所用的技术不同，所以他们会留下不同的痕迹。在过去的十年里，我发现了若是出现下列5种信号的话，你的企业很有可能已经遭到了 APTs攻击。在一个企业中，每个业务都有一个固定的、合法的活动频率，若其活动频率突然发生异变，说不定这部分业务正在被APT所利用。

　　APT信号 NO.1：在晚上，日志登录信息的暴增

　　APTs首先会攻陷一台电脑，然后会迅速接管整个网络大环境。通过读取数据库的身份认证，窃取证书并反复利用这些权限，从而达到接管整个网络的目的。他们了解哪些用户（或者服务）账户拥有更高的权限，有了这些特权，他们就可以游走于网络各方，危及企业的资产。因为攻击者的生活时差与我们相反，所以通常情况下，日志中大量的登录与注销记录的爆发都会发生在夜里。如果你突然发现日志的登录注销记录突然大量出现，而该时间段里，这些员工应该是在家休息的，那么你就需要警惕了！

　　APT信号 NO.2：广泛的后门木马

　　APT黑客经常在开发环境中在被感染的电脑里面装上后门木马。他们这样做是为了能够确保随时可以回来，即便是捕获的日志认证发生了改变，他们也能够通过此后门得到线索与信息。另一个相关的特征：一旦行踪暴露，APT黑客不会像普通攻击者那样马上逃走擦净痕迹，为什么会如此呢？他们在企业中操控了计算机等相关设备，而且只要他们本人不坦白，即使是走了法律流程，这些潜在的威胁也很难被发现。

　　这段时间以来，大多数被部署了木马的企业，均是被社会工程学的攻击手段钻了空子。这种攻击手段相当普遍，它们使APT攻击的成功率提高了不少。

　　APT信号 NO.3：意想不到的信息流动

　　我能想到的，检测APT活动的最好方法是：看到大量意想不到的数据流从内部计算机向外部流动。有可能是从服务器流向服务器，也有可能是从服务器流向客户端或是从网络移动到网络。