一次典型的APT攻击过程，通常包括信息搜集、获取入口点、实施远程控制、攻击目标横向转移、重要资产数据发现、数据泄露等环节。对于攻击防御方而言，由于特征的时效性和检测手段的局限性，未必能够在攻击的起始阶段实现有效检测。但对于APT这样的时间跨度长、攻击目标明确的攻击行为，在整个攻击过程中总会存在若干个攻击暴露点，以此为基础对相关的流量进行回溯关联，就有可能获取攻击者完整的攻击意图。

以某个攻击过程为例，攻击者试图获取某信息系统中的重要数据。为此，攻击者先搜集到了该信息系统部分用户的邮箱地址，然后给这些用户发送了邮件，其附件中包含了某个利用了0day漏洞的文件，导致用户打开附件时执行了恶意命令并被植入了未知木马。攻击者通过加密的命令控制通道，对用户主机实施远程控制，获取了信息系统中的重要数据。在这个攻击过程中，由于攻击者所利用的漏洞、植入的木马都缺乏特征，采用的远程控制通道又是进行了加密，现有基于攻击签名的检测方式很难进行有效检测。

有了本文所述的基于记忆的APT攻击检测系统，对整个攻击过程的数据进行存储，辅以异常检测方法，就有可能实现检测。例如，通过可疑行为识别，系统能检测到用户主机上的可疑加密传输行为;基于可疑报警，对相关主机的数据进行回溯分析，对相关的历史流量进行协议解析、应用识别和还原，能够得到邮件附件、被植入的木马文件;分析人员再对还原后的内容做进一步的确认，就能够识别攻击者的真实意图和已经发生的攻击行为，并评估自身的信息资产损失状况。

APT的出现，既给传统检测技术带来了挑战，也为新兴技术的应用带来了机遇。硬件技术的发展，使得处理器运算能力不断增强、单位容量存储成本不断降低，这为我们基于大数据进行APT检测提供了必要条件。

对于APT攻击，我们的对抗策略是以时间对抗时间，改变传统基于单时间点进行特征匹配的局面，对长时间窗的数据进行关联分析，并辅以异常检测算法，以解决现有检测手段的不足。通过扩大检测域、丰富检测机制，形成了新一代基于记忆的智能检测系统。随着大数据技术的发展、各类检测算法的丰富，基于记忆的智能检测系统将在应对APT攻击中发挥更大作用。