本文介绍高级持续性威胁(APT)使用的攻击技巧和性质,分析近些年发生的APT攻击案例的技术细节。从攻击者暴露几率、实施攻击的代价、被检测出的可能、实施补救的代价、防御手段的多少和取证调查的难度方面分析APT攻击的危险阶段的特点。结合常见的四种APT检测技术,总结出APT防御策略的演变规律,提出基于APT攻击链阻断的防御策略,在不同的攻击阶段利用不同的检测组合手段可以有效的阻断APT攻击。通过对APT攻击的持续跟进,发现APT攻击的新动向和新手段,包括:精准钓鱼、高级隐遁技术、水坑攻击、利用社交攻击和Tor网络、远程控制更加多样和精细、先进挥发性威胁等。提出运用“主动技术”和“活性技术”的思想的APT缓解策略,从构建弹性网络和安全系统工程方面,缓解APT攻击带来的影响。文章重点分析新型APT逃避沙箱检测的技术细节,从人机交互、特殊设定、特殊环境、典型虚拟机系统特征方面阐述方面剖析回避沙箱检测的手段;指出现有APT沙箱检测系统的不足,提出新型APT沙箱检测系统的技术要点和基于漏洞诱饵的新型APT防御模式。从取证和响应角度防御,提出基于多级端点取证和响应的高级威胁防御,对高级威胁防御的体系架构、证据链模型和D-S证据理论的融合诊断决策模型详细阐述,构建实时取证和快速响应协同的整体防御体系。