大数据和APT检测绝对是RSA2013大会的最热点。有很多厂商都提出了自己的APT安全解决方案。

我们可以把这些方案分为四类：

1、恶意代码检测类：该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤，因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络，因此，恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的，典型代表厂商包括FireEye和GFI Software。

2、主机应用保护类：不管攻击者通过何种渠道发送给组织员工的恶意代码，必须在员工的个人电脑上执行，因此，如果能够确保员工个人电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况，从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案，典型代表厂商包括Bit9。

3、网络入侵检测类：就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多，但是，恶意代码网络通信的命令和控制通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有趋势科技、飞塔等。

4、大数据分析检测APT类：该类APT攻击检测方案并不重点检测APT攻击中的某个步骤，而是通过全面收集重要终端和服务器上的日志信息以及采集网络设备上的原始流量，进行集中分析和数据挖掘。它是一种网络取证思路，它可以在发现APT攻击的蛛丝马迹后，通过全面分析海量数据，从而还原整个APT攻击场景。大多数拥有大数据分析技术的厂商都采用这种思路来检测APT攻击。典型的厂商有RSA和SOLERA。