我們可以看看從2001年到2005年期間，幾個比較典型的惡意代碼，包括：CodeRedII、沖擊波、震蕩波等這些具有快速傳播能力的惡意代碼。無論當時這些惡意代碼把安全廠商和安全響應組織打得多么措手不及，但這些安全團隊對它的感知時間都沒有超過24 小時。從另一方面來講，當時的反病毒/反入侵對抗主要依賴的機制是一種捕獲、辨識、分析、提取簽名、發布規則庫/病毒庫。由于感知時間不超過24個小時，這種機制在蠕蟲時代和病毒時代一直工作的很好。

2010前后進入APT時代，有三個非常典型的APT事件：Stuxnet、Duqu和Flame。從釋放時間和發現時間我們可以看到，Stuxnet是在2010年7月被發現的，根據其對應的時間戳信息，我們認為它的釋放時間是在2009年6月。Duqu是在2011年8月被發現的，目前認為它的釋放時間是在2007年底或在2008年初。Flame則更晚，它在2012年5月才被發現，但從其相關的注冊域名來看，其體系在2007年底就已經開始了早期的活動。

從上面的時間對比中，我們可以看出令整個安全業界感到非常尷尬的一點，就是這些APT攻擊至少存在了幾乎一年之久(火焰幾乎長達5年)才被業內廣泛感知和進行相應處理。而更讓安全業界感到尷尬的是，Flame是在用戶提交樣本的配合下，才最終被發現的。

從上面對比我們可以看出，在APT時代，安全廠商已經由“24小時”敏銳感知能力退化到了以“月“甚至以“年”為單位的遲鈍感知能力。

在APT時代，基于事后簽名機制的傳統產品，如IPS、IDS、殺毒軟件等產品受到極大的挑戰，由于感知能力比較差，感知時間比較長，面對APT攻擊時，這種事后簽名機制幾乎失效。

我們來分析下，是什么原因導致我們APT感知能力比較差呢?APT時代，整個惡意代碼的分布不再與信息化程度相關，而是和它的初始投放目標和地理位置有關。第一個原因就是定向攻擊。APT攻擊是高級持續的威脅這三個詞的縮寫，在我們看來更是高級持續的定向攻擊。第二個原因是針對某些安全產品進行攻擊。在韓國320事件中，韓國的銀行和電視臺多安裝了本土的殺毒軟件安博士，然而在本次事件中，安博士不但沒有起到殺毒的作用，反而在攻擊中被殺掉了。今年5月份發生的美國勞工部網站被黑事件，攻擊代碼中的一段代碼就是針對Bitdefender殺毒軟件，導致Bitdefender不但沒有查到攻擊，相反在這次的攻擊中被關閉了。

從這兩個事件可以看出，APT攻擊的針對性非常強，攻擊者對對方的信息了解的非常多，包括操作系統、使用的軟件(安全軟件、郵件賬號、微博賬號等等)，所以在APT事件中，殺毒軟件/傳統防御產品件往往是第一個失效的。

第三個原因，利用文檔發起攻擊。因為傳統的IDS/IPS、AV對文檔解析能力弱，另外，文檔可能涉及到隱私和秘密，用戶對提交該類文件有疑慮，導致該類危害不能及時反饋到安全廠家手上。第四個原因，APT攻擊中往往包含有零日攻擊和特馬(專門逃避傳統安全產品查殺的木馬)。