民用攻击和高级攻击防御技术的对比

面对不同类型的攻击，安全策略也必然会有所不同。过去十年间，安全服务关注的大多是普遍发生的民用攻击，而在最近两年间，高级攻击的发现与防御成为国内安全工作者的重要焦点。

从基本安全策略来看：对于民用攻击来说，安全服务考虑的重点自然是如何进行有效的防御;而对于高级网络攻击来说，则应以“一定防不住”为出发点制定安全策略，优先考虑的不是如何防，而是如何才能够看见和发现新的威胁。

从防护优先级来看：在民用攻击中，安全服务会优先査杀和防御那些攻击范围广、感染量大的木马病毒，而对于偶发的个例攻击，则可能会在兼顾效率的原则下，有选择地忽略。

但在高级网络攻击中，即便是只有一个用户被攻击，安全服务也不能轻易的将其忽叙略，因为这一个用户就有可能是一个高价值APT目标。

从防御的深度来看：在民用攻击中，安全服务只要能成功阻止攻击，就算是防御成功了，通常不会特别关心攻击的源头和背后的攻击者。

但在面对高级攻击时，安全服务就必须要具有关联分析和溯源分析的能力，因为只要攻击的源头还存在，那么对特定目标的攻击就不会停止。

从这个角度看，民用攻击中的安全服务就像是小区保安，只管保护，不管抓人也不管破案;而高级攻击中的安全服务则像是侦探或警察，必须有能力分析现场，追捕嫌疑人。

从核心技术手法来看：民用攻击的防御主要靠的是具体的攻防技术，包括驱动、引擎、沙箱、云端技术等多个方面;

但高级攻击的发现主要靠的是数据技术，包括数据采集、数据分析与数据呈现等多个方面。没有大规模、详实的数据记录，就不太可能发现那些隐蔽性极强的高级攻击;同样，如果没有足够效率的数据关联分析技术，也无法真正有效地追踪攻击者的实时变化。

当我们需要在一个企业的内部网络中发现高级攻击时，就需要对这个企业内部网络的数据进行充分的采集和记录;而当我们需要在整个互联网上分析或捕获高级攻击时，则需要我们对整个互联网的数据有充分的采集和记录，并且有足够的大数据处理能力来快速的从海量数据中捞出针一样细小的高级攻击事件。