近年来,随着极光、震网等典型的APT攻击案例映入我们的视线,APT攻击由于其危害的严重性受到了极大的关注。本文首先介绍高级持续性威胁(APT)的特征以及典型的攻击案例。并分析近年来发生的典型攻击案例,试图找出威胁性较强的攻击过程,从而以其为目标进行检测。研究发现APT过程中威胁性最强的两个因素:C&C通道以及隐私数据传输通道。本文提出一种新型的基于VPN隐蔽信道实现,并阐述其危害的严重性与检测的意义。由于VPN一直以来被认为是较为安全的远程访问技术,所以缺少相应的检测技术。本文首先针对PPTP、IPSec以及OpenVPN协议进行研究分析,提出检测算法。检测模型没有使用传统的特征检测方式,而加入了多特征、多阶段的检测,大大提高了检测的准确性,降低了误报率。检测系统在Linux环境下利用Libpcap库函数实现,将检测分为控制、数据两部分,实现多阶段的检测。在实现后,分别对检测系统的正确率与准确率进行检测,验证检测系统的正确性与准确性。文章重点分析不同协议VPN中控制信道与数据信道两种不同阶段的显著特征,并尽量选取两个以上的检测特征作为检测向量。在APT环境下的信息安全研究中,VPN隐蔽信道检测系统具有显著的意义。