第 45 卷第 9 期 2024 年9 月V ol.45 No.9 September 2024通 信 学 报 Journal on Communications 基于 APT活动全生命周期的攻击与检测综述 王郅伟1,2，何睎杰1,2，易鑫1，李孜旸1,2，曹旭栋1,2，尹涛2，李书豪2，付安民3，张玉清1,2,4 （1.中国科学院大学国家计算机网络入侵防范中心 ，北京 101408；2.中关村实验室 ，北京 100194； 3. 南京理工大学计算机科学与工程学院 ，江苏 南京 210094；4.海南大学网络空间安全学院 ，海南 海口 570228） 摘 要：从攻击方法和检测方法两方面展开 ，首先综述高级持续威胁 （APT）攻击的定义与特点 ，总结相关攻 击模型的研究发展 ，在此基础上给出更一般性的 APT全生命周期模型 ，并划分 4个阶段，信息收集阶段 、入侵 实施阶段 、内网攻击阶段和数据渗出阶段 ，对每一个阶段 ，重点调研近 5年的研究论文 ，归纳总结各阶段的攻击 与检测技术 ，并给出分析 。最后，结合 APT攻防技术相互博弈 、快速发展的趋势 ，指出了当前攻防双方面临的 挑战和未来研究的发展方向 。 关键词：高级持续威胁 ；网络杀伤链模型 ；全生命周期 ；零日攻击 ；检测 中图分类号 ：TP399 文献标志码 ：A DOI：10.11959 /j.issn.1000-436x.2024128 Survey of attack and detection based on the full life cycle of APT WANG Zhiwei1,2, HE Xijie1,2, YI Xin1, LI Ziyang1,2, CAO Xudong1,2, YIN Tao2, LI Shuhao2, FU Anmin3， ZHANG Yuqing1,2,4 1. National Computer Network Intrusion Protection Center , University of Chinese Academy of Sciences , Beijing 101408 , China 2. Zhongguancun Laboratory , Beijing 100194 , China 3. School of Computer Science and Engineering , Nanjing University of Science and Technology , Nanjing 210094 , China 4. School of Cyberspace Security (School of Cryptography ), Hainan University , Haikou 570228 , China Abstract : The advanced persistent threat (APT ) attack was explored from two perspectives : attack methods and detec ‐ tion methods . First , the definitions and characteristics of APT attacks were reviewed and the development of related at ‐ tack models was summarized . Based on this , a more general APT full lifecycle model was proposed , which was divided into four stages : information gathering , intrusion execution , internal network penetration , and data exfiltration . For each stage , recent research papers from the past five years were thoroughly reviewed , and the attack and detection techniques for each stage were analyzed . Finally , in light of the dynamic landscape of APT attack and defense technologies , the pa ‐ per underscores the formidable challenges confronting both offense and defense and offers guidance for future research in this domain . Keywords : APT, network kill chain model , full life cycle , 0day attack , detect 收稿日期 ：2024-02-18；修回日期 ：2024-05-24 通信作者 ：张玉清，zhangyq@nipc .org.cn 基金项目 ：国家重点研发计划基金资助项目 （No.2023 YFB 3106400 , No.2023 QY1202） ；国家自然科学基金资助项目 （No.U2336203 , No.U1836210） ；海南省重点研发计划基金资助项目 （No.GHYF 2022010） ；北京市自然科学基金资助项目 （No.4242031） Foundation Items ：The National Key Research and Development Program of China (No.2023 YFB 3106400 , No.2023 QY1202 ), The National Natural Science Foundation of China (No.U2336203 , No.U1836210 ), The Key Research and Development Program of Hainan Province (No.GHYF 2022010 ), The Beijing Natural Science Foundation (No.4242031 )第 9 期 王郅伟等 ：基于 APT活动全生命周期的攻击与检测综述 0　引言 随着互联网和物联网技术的高速发展 ，人类 的生产、生活、教育和娱乐等行为愈发地与网络 高度耦合 。在网络空间博弈与国际局势演变的大 背景下，具有强组织性 、高度技术复杂性 、针对 性和隐蔽性的高级持续威胁 （APT, advanced per ‐ sistent threat ）攻击对不同行业的网络资产威胁日 渐加深[1]。以2010年震网（Stuxnet）蠕虫病毒为 例，APT攻击者利用高度精准的社会工程学策略 ， 针对伊朗核项目的工作人员进行了攻击 。这导致 伊朗用于浓缩铀的离心机系统遭受严重破坏 ，从 而迟滞了伊朗核项目的进展 。2023年6月，卡巴 斯基揭露的一起 APT攻击事件[1]提到有 APT组织 利用了 iOS系统中多个零日 （0day）漏洞组合 ， 使用 IMessage 信息服务的 0-Click- 0day在全球范围 进行大规模攻击 。从该攻击活动的目标范围 、复 杂度、攻击技术和跨越时间来看 ，这是近 10年内 最顶尖的国家级 APT攻击活动[2]。攻击者展示的 高超技术和丰富资源 ，凸显了 APT攻击威胁的不 断加剧，对APT攻击模式的厘清 、对APT攻击的 防御与检测也刻不容缓 。 本文主要对中外期刊论文 、EI数据库、CCF 推荐网络与信息安全国际学术顶级会议 （如IEEE S&P、USENIX Security 、ACM CCS 、NDSS）中 发表的 APT攻击与检测相关论文进行了深入调研 分析，具体的年份与类型分布如图 1所示，相关研 究集中在近 5年，5年之前的文献频次较低且平均 水平稳定 ，之前的研究侧重于 APT攻击的梳理 ， 而近 5年则更专注于 APT检测技术的发展 ，体现了 检测技术相较于攻击技术相对滞后的特点 。本文仅 选择具有突出意义的研究进行介绍 ，同时，与APT 相关的研究工作一直是学术研究中的重点 ，对传统 技术的总结 ，对新型研究的介绍也具有重要的现实 意义。 与现有综述相比 ，本文不仅仅关注某一领域或 某一类分析方法的 APT攻击研究[3-5]，亦不局限于 单一的 APT攻击抑或 APT检测方面[6-7]，本文研究 纵深结合两者 ，更不仅对 APT本身概念和特征进 行探讨[8-10]，本文辅以案例 ，以及攻击与检测技术 中的具体细分方向的研究迭代和最新进展 ，以APT 全生命周期作为核心并展开 ，全面展现了 APT研 究发展的动态过程 。本文根据 APT活动的典型全生命周期结构 ， 从攻击和检测 2个角度，重点对近 5年的 APT相关 研究工作进行了分析 ，主要贡献包括 4个方面。 1) 在充分分析 APT攻击定义 、特点、模型的 基础上，整合研究机构对 APT攻击模型的总结 ， 提出了更加全面 、系统化、科学的 APT全生命周 期模型，并创新性地以全生命周期阶段作为攻击与 检测技术划分 ，分析和归类 APT攻击方法和检测 手段，更加清晰直观 。 2) 在攻