大數據和APT檢測絕對是RSA2013大會的最熱點。有很多廠商都提出了自己的APT安全解決方案。

我們可以把這些方案分為四類：

1、惡意代碼檢測類：該類APT解決方案其實就是檢測APT攻擊過程中的惡意代碼傳播步驟，因為大多數APT攻擊都是采用惡意代碼來攻擊員工個人電腦以進入目標網絡，因此，惡意代碼的檢測至關重要。很多做惡意代碼檢測的安全廠商就是從惡意代碼檢測入手來制定APT攻擊檢測和防御方案的，典型代表廠商包括FireEye和GFI Software。

2、主機應用保護類：不管攻擊者通過何種渠道發送給組織員工的惡意代碼，必須在員工的個人電腦上執行，因此，如果能夠確保員工個人電腦的安全則可以有效防止APT攻擊。主要思路是采用白名單方法來控制個人主機上應用程序的加載和執行情況，從而防止惡意代碼在員工電腦上執行。很多做終端安全的廠商就是從這個角度入手來制定APT攻擊防御方案，典型代表廠商包括Bit9。

3、網絡入侵檢測類：就是通過網絡邊界處的入侵檢測系統來檢測APT攻擊的命令和控制通道。雖然APT攻擊中的惡意代碼變種很多，但是，惡意代碼網絡通信的命令和控制通信模式并不經常變化，因此，可以采用傳統入侵檢測方法來檢測APT通信通道。典型代表廠商有趨勢科技、飛塔等。

4、大數據分析檢測APT類：該類APT攻擊檢測方案并不重點檢測APT攻擊中的某個步驟，而是通過全面收集重要終端和服務器上的日志信息以及采集網絡設備上的原始流量，進行集中分析和數據挖掘。它是一種網絡取證思路，它可以在發現APT攻擊的蛛絲馬跡后，通過全面分析海量數據，從而還原整個APT攻擊場景。大多數擁有大數據分析技術的廠商都采用這種思路來檢測APT攻擊。典型的廠商有RSA和SOLERA。