们现有的相关安全防护模块协同进行工作。既然，APT的攻击方式可以使用多样的技术手段结合大数据分析的方式加上一定的耐性去进行。那我们的安全防护为什么不能也用这种方式去做呢？很多看似相对独立的安全事件，但是其背后可能是有千丝万缕的关联性的。而平时偶尔出现的一些流量特征的异常，网络服务的变化等等可能也蕴藏了大量可被挖掘的安全信息。
我们需要做的仅仅是将目前的流量特征、安全事件、审计日志、数通设备、安全设备、终端信息、人员信息等等相关联的数据进行一定程度的融合，只要数据的量和覆盖度都足够，那我们必然可以发现一些可能的安全隐患或者类似被隐藏在其中的未知威胁安全事件，而这一点不论攻击者使用什么攻击手段基本都是无处遁形的。
3结语
总之，从未知威胁尤其是APT检测体系上应该形成一个纵深且关联分析深入的防御体系。前期是完善地渗透攻击检测技术针对多样的攻击、0day漏洞和木马等恶意程序的防护，然后就是智能的事件及流量特征关联与分析上进行识别。这就是结合目前现有技术可以提出的一个更加完整，且针对未知威胁的检测体系。
参考文献
1黄达理，薛质进阶持续性渗透攻击的特征分析研究J信息安全与通信保密2012，33（05）：8789
fr