高级持续性威胁一词最初起源于2005～2006年间在美国空军工作的网络安全工程师们对于一些安全事件的描述。2010年，在攻击伊朗核设施的震网病毒事件引起世人瞩目后，APT一词已成为网络安全领域的一个热词。

APT并不是一个新的技术概念，而是用以概括具有坚定攻击意志的战略对手的攻击行为。同一般的黑客攻击相比，APT攻击具有如下特点：①目标特定性。APT攻击对象有着特定的目标，并且为了这个目标做了精心准备和行动规划。这个目标可能是个人或企业终端，也可能是某个专有系统，但都具有重要的战略价值，一般以政治、经济、科技、军工等热点相关的行业或机构居多。目标的选择有着鲜明而坚定的使命与价值导向，至于目标是否有弱点漏洞则并不重要。一旦目标确定，后续的一切行动都是为了达到这个目标，将进行精心的准备和行动规划。②手段高级性。包括技术的高级性和组织规划的缜密性。APT攻击中所使用的技术具有相对的高级性，并不具有统一的、量化的标准。对于一些资源和能力有限的国家和组织，它可能是相对于攻击者所拥有的资源攻击体系中位于高点的能力，代表了攻击者本身的最高能力或所能找到的最佳方式。越来越多的案例表明，APT所使用的能力是相对于攻击者防御反制能力的势能落差。这体现在，针对强防护目标时，APT显现出其细致的目标情报搜集能力、0day漏洞攻击能力、攻击行为高度隐蔽能力等高级能力。针对弱防护目标时，其技术的高级性的特征没有那么明显，但仍然高于被攻击者。此外，APT攻击还表现出组织规划的缜密性。APT攻击具备严密的数据收集规划，整个攻击流程具有严格的实施逻辑，为了最终的目标，甚至会主动离场，也不打草惊蛇，整个行动不仅有预谋，而且有精心策划、构思缜密的规划。③攻击持续性。APT攻击具有持续性攻击的特征。这种持续攻击可能表现为持续的隐蔽信道、加密通信，也可能体现在持久化或者反复进入的能力。APT的进攻方具备极高的成本承担能力与巨大的能力储备，行动的结束取决于特定任务的完成情况、攻击者意志的持续力和成本支撑能力。

一次成功的APT行动通常分为侦察跟踪、武器构建、载荷投递、突防利用、安装植入、通信控制、达成目标等步骤：①侦察跟踪。为了能达到攻击目的，攻击者尽可能全面地收集目标的相关情报信息，逐步掌握目标情况，这是所有APT攻击生命周期中必备的行动之一。情报搜集的来源包括公开资源、已窃取的情报、组织间的合作、地下黑产等。②武器构造。根据对于目标情报的侦察结果，攻击者会构造相应的攻击武器。攻击武器的构造可以自主开发也可以基于商业平台委托定制，攻击武器的构造必须能够对抗目标方的检测预警机制。③载荷投递。常见的载荷投递的方法有鱼叉邮件攻击、水坑式攻击、中间人劫持，以供应链植入的高成本载荷投递方法也已经出现。载荷投递的成功与否取决于载荷的突防利用能力、伪装欺骗能力等。④突防利用。载荷投递在到达目标后能够突破对方的防护，按照预定设计的功能运行。漏洞尤其是0day漏洞是实现突防利用的主要关键技术。受攻击者的能力限制或受攻击者基本没有防护时，攻击方会直接选择投递木马程序作为载荷，但通常这种情况很容易被发现。⑤安装植入。是指在攻击目标上植入攻击代码。在持续化攻击对抗中，永久驻留是安装植入的难题。因为一旦木马程序通过修改注册表、服务、计划任务等方式实现自启动，往往也触发杀毒软件的主动防御功能，会给用户以警觉，并且木马程序会很容易进入杀毒软件的视野。⑥通信控制。是指攻击者与远程访问木马程序（remote access trojan，RAT）之间的安全通信。几乎所有的APT攻击行动都会有此环节，一般目的是植入恶意代码或配置文件、接受相关控制指令,以及回传窃取的数据信息等。⑦达成目标。

早期APT的目标通常以窃取核心资料为目的，针对特定对象，长期、有计划性和组织性地窃取数据。之后发生的一些事件表明，APT的目标更加广泛，不仅涉及存储信息的个人或企业终端，还包括一些关键基础设施也成为了某些APT行动的目标。APT攻击动机上的变化也致使攻击手段不断演变，目标威胁更加纵深，行动更加隐蔽，已成为各类高等级信息安全系统所面临的主要安全威胁之一，很多国家已经将APT攻击防范列入国家安全防御战略的重要组成部分环节。