一次典型的APT攻擊過程，通常包括信息搜集、獲取入口點、實施遠程控制、攻擊目標橫向轉移、重要資產數據發現、數據泄露等環節。對于攻擊防御方而言，由于特征的時效性和檢測手段的局限性，未必能夠在攻擊的起始階段實現有效檢測。但對于APT這樣的時間跨度長、攻擊目標明確的攻擊行為，在整個攻擊過程中總會存在若干個攻擊暴露點，以此為基礎對相關的流量進行回溯關聯，就有可能獲取攻擊者完整的攻擊意圖。

以某個攻擊過程為例，攻擊者試圖獲取某信息系統中的重要數據。為此，攻擊者先搜集到了該信息系統部分用戶的郵箱地址，然后給這些用戶發送了郵件，其附件中包含了某個利用了0day漏洞的文件，導致用戶打開附件時執行了惡意命令并被植入了未知木馬。攻擊者通過加密的命令控制通道，對用戶主機實施遠程控制，獲取了信息系統中的重要數據。在這個攻擊過程中，由于攻擊者所利用的漏洞、植入的木馬都缺乏特征，采用的遠程控制通道又是進行了加密，現有基于攻擊簽名的檢測方式很難進行有效檢測。

有了本文所述的基于記憶的APT攻擊檢測系統，對整個攻擊過程的數據進行存儲，輔以異常檢測方法，就有可能實現檢測。例如，通過可疑行為識別，系統能檢測到用戶主機上的可疑加密傳輸行為;基于可疑報警，對相關主機的數據進行回溯分析，對相關的歷史流量進行協議解析、應用識別和還原，能夠得到郵件附件、被植入的木馬文件;分析人員再對還原后的內容做進一步的確認，就能夠識別攻擊者的真實意圖和已經發生的攻擊行為，并評估自身的信息資產損失狀況。

APT的出現，既給傳統檢測技術帶來了挑戰，也為新興技術的應用帶來了機遇。硬件技術的發展，使得處理器運算能力不斷增強、單位容量存儲成本不斷降低，這為我們基于大數據進行APT檢測提供了必要條件。

對于APT攻擊，我們的對抗策略是以時間對抗時間，改變傳統基于單時間點進行特征匹配的局面，對長時間窗的數據進行關聯分析，并輔以異常檢測算法，以解決現有檢測手段的不足。通過擴大檢測域、豐富檢測機制，形成了新一代基于記憶的智能檢測系統。隨著大數據技術的發展、各類檢測算法的豐富，基于記憶的智能檢測系統將在應對APT攻擊中發揮更大作用。