近年来，具备国家和组织背景的APT攻击日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等，2014年APT攻击的主要目标行业是金融和政府，分别高达84%和77%。

2019年初，奇安信威胁情报中心发布了《2018 年中国高级持续性威胁（APT）研究报告》。报告中指出：

从公开披露的高级威胁活动中涉及目标行业情况来看(摘录自公开报告 中提到的攻击目标所属行业标签)，政府、外交、军队、国防依然是 APT 攻 击者的主要目标，这也与 APT 攻击的主要意图和目的有关，值得注意的是 国家的基础性行业也正面临着高级威胁攻击的风险，如能源、电力、工业、 医疗等。

而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁，如 MageCart、 Cobalt Group 等等，其组织化的成员结构和成熟的攻击工具实现对目标行业 的规模化攻击，这与过去的普通黑客攻击是完全不同的。除了针对金融、银 行外，电子商务、在线零售等也是其攻击目标。

图1 全球APT组织关注领域分布

高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公 开报告中提到的受害目标所属国家或地域），可以看到高级威胁攻击活动几 乎覆盖了全球绝大部分国家和区域。

图2 高级威胁活动针对的国家和地区

2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播免杀木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。根据该组织的某些攻击特点，奇安信公司将其命名为OceanLotus（海莲花）。在2017年的监测中，海莲花仍处于活跃状态，同时在不断的更新攻击手法。

传统安全防御体系的设备和产品遍布网络2 ~ 7层的数据分析。其中，与APT攻击相关的7层设备主要是IDS、IPS、审计，而负责7层检测IDS、IPS采用经典的CIDF检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击，其采用的攻击手法和技术都是未知漏洞（0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测APT攻击。

APT攻击通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流量中。传统的安全事件分析思路是遍历各个安全设备的告警日志，尝试找出其中的关联关系。但依靠这种分析方式，传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测，也就无法产生相应的告警，安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路，一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，组织通常没有足够的资源来支撑长时间的存储；另一方面是全流量数据包含了结构化数据、非结构化数据，涵盖了视频、图片、文本等等多种格式，无法直接进行格式化检索，安全人员也就无法从海量的数据中找到有价值的信息。

在安全形势不断恶化的今天，政府、军队、金融、大型企业等客户所处的特殊位置，经常会面临来自互联网的攻击威胁，虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备， 但仍然会有部分威胁绕过所有防护直达企业内部，对重要数据资产造成泄漏、损坏或篡改等严重损失。因此企业需要在其网络中部署威胁感知产品，及时发现潜藏在其网络中的安全威胁，对威胁的恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击者背景的研判与溯源，从源头上解决企业网络中的安全问题，尽可能地减少安全威胁对企业带来的损失。