在探討APT攻擊檢測之前，我們先分析下檢測的內涵。從本質上講，檢測是將求檢對象從其所依附的環境中識別出來的過程。為了識別求檢對象，我們需要從檢測環境中采樣能體現求檢對象特征的數據，形成被檢測域;需要依賴特定的背景知識，形成判據庫;需要采取一定的判定算法，形成判定機制;最終在被檢測域、判據、判定機制的共同作用下，做出是否存在求檢對象的論斷，整個過程如圖所示。

檢測邏輯模式

以傳統的入侵檢測系統(IDS)為例，求檢對象是網絡攻擊行為，檢測環境就是包含了攻擊行為數據的網絡流量數據。為了檢測攻擊，我們需要實時采集網絡流量，形成IDS的被檢測域;需要提取各類攻擊行為的網絡特征構造特征庫，作為IDS的判據庫;需要采用特征匹配算法，作為IDS判定流量中是否包含攻擊行為的判斷機制。有了流量數據、特征庫、特征匹配算法，我們就能檢測網絡中是否存在已知攻擊行為。

傳統IDS這種檢測模式，在應對常規攻擊曾發揮了巨大作用，但對于APT卻顯得無能為力，主要原因在于：

(1) 傳統IDS的被檢測域是實時網絡流量，只判斷實時網絡流量中是否包含攻擊行為;而APT整個過程的時間跨度很長，從單個時間點的角度看APT無法了解全貌，也無法識別攻擊者的真實意圖，只有將長時間的可疑行為進行關聯分析才能實現APT的有效檢測。

(2) 傳統IDS的判斷機制是特征匹配，只能檢測出提取過攻擊簽名的已知攻擊行為;而APT過程中往往采用0day、特種木馬、隱蔽通道傳輸等未知攻擊，無法通過誤用檢測的方式進行準確識別，只有通過異常檢測的方式才有可能識別出可疑的攻擊行為。

鑒于上述不足，要有效對抗APT，我們一方面要擴大被檢測域，將基于單個時間點的實時檢測轉變為基于歷史時間窗的異步檢測;另一方面要豐富判定機制，在檢測已知攻擊的同時能夠兼顧對未知攻擊的檢測。為此我們提出了基于記憶的新檢測模式，共分為四個步驟：

(1) 擴大：即拓寬被檢測域，對全流量數據進行存儲分析。這樣在檢測到可疑行為時，可回溯與攻擊行為相關的歷史流量數據進行關聯分析，之前已發生過、未能引起分析人員注意的報警，有可能隱藏著蓄意攻擊意圖，通過這種回溯關聯分析就有可能進行有效識別。有了全流量的存儲，就有可能回溯到任意歷史時刻，采用新的檢測特征和檢測技術，對已發生的流量進行任意粒度的分析，這是本系統最大的特點。

(2) 濃縮：對存儲下來的大數據進行降解操作，刪除與攻擊無關的數據以節省空間，同時保留與攻擊相關的數據以備后續分析。濃縮環節需要借助于攻擊檢測模塊，可通過第三方檢測設備如IDS的報警進行降解，也可直接對全流量數據進行異常檢測產生可疑報警，基于報警事件進行降解。

(3) 精確：對產生的可疑攻擊數據做進一步深入分析，產生對攻擊行為的精確報警。可通過多維數據可視化分析，定位可疑會話，再進一步對流量數據進行細粒度協議解析和應用還原，識別異常行為和偽裝成正常業務的攻擊行為。本環節需要分析人員的參與，通過人機結合的方式提升分析效率和準確度。

(4) 場景：對各類攻擊報警進行關聯，識別報警之間的攻擊層語義關系，根據孤立報警中建立完整攻擊場景。通常的做法是以關聯規則的方式建立攻擊場景知識庫，通過對報警進行匹配和關聯，完成攻擊場景的構建。