未知威胁的安全攻击，尤其是APT攻击的时候有更好的效果，这里我针对安全攻击事件的事前和事中分别提出一些自己的看法。
首先，目前的安全防护设备可以说基本都是针对安全事件已经发生，或者已经攻击结束之后才能发现并且针对攻击进行一些应对措施，整体上非常被动。在这点上其实我们应该从源头上去做一些安全加固，这一点在目前国内外的大多数产品来说是非常欠缺的。
对一个系统进行安全测试和安全测评，来建立事前安全防御体系的过程，首先要去分析这个系统所要保护的资产是什么？它在什么样的环境下有什么样的用户会去使用。由此可以初步建立一个安全质量的标准，再进一步去分析数据之间的关系，以及它存在的威胁，具体可以分析微观上面的数据权限之间的关系，再把可能存在的威胁进行漏洞化，分析它可能表现为系统的哪些漏洞形式，并对这个系统的安全实现提出要求。这样，就可以获得对一个系统安全策略、安全实现的要求，然后验证它的安全策略、安全功能和安全实现，最终就可以形成一个高覆盖性、完备性的安全测试过程。
其次，就是针对安全事件的事中发现问题。从技术环节上来讲，就是漏洞或者攻击行为的发现，漏洞从应用角度可以分为两类：内存级的漏洞和基于脚本级的漏洞。基于漏洞的分析主流技术包括0day攻击检测技术、木马分析技术、恶意链路分析技术，以及终端和网络边界协同的分析技术等，通过这些技术的组合，就能有效地利用沙箱检测技术较为准确地去检测各种应用上的攻击技术。可以说，APT攻击防御的核心技术就是建立纵深防御体系，包括0day漏洞触发与检测、0day木马对抗与检测、加密链路识别，以及智能事件关联与分析。
针对0day木马检测的技术，通行的技术也是采用沙箱作为分析引擎，其挑战在于：恶意的攻击点很难判别和识别。在这当中可以作为0day漏洞补充的一个技术来进行，通过0day可以判断对方的恶意，可以准确地把他的漏洞行为特征分析出来，可以把他的行为通过智能分析，直接加入到智能学习与关联中间去。
而针对加密数据的可信识别，可以分成两类：未加密协议通道和加密协议通道。未知威胁的APT攻击这种手法早就存在，未加密协议通道可以通过异常流量和行为的智能分析来发现，而加密协议通道的数据更加复杂一些，因此要增加更多的外部分析，通过外部关联站点的信息分析，来识别它远程连接的可信度，但是这一点实现上来说非常困难。
f龙源期刊网httpwwwqika
comc
对此，我们可以依托于目前广泛拓展的大数据技术，配合我r