我們可以看看從2001年到2005年期間，幾個(gè)比較典型的惡意代碼，包括：CodeRedII、沖擊波、震蕩波等這些具有快速傳播能力的惡意代碼。無論當(dāng)時(shí)這些惡意代碼把安全廠商和安全響應(yīng)組織打得多么措手不及，但這些安全團(tuán)隊(duì)對它的感知時(shí)間都沒有超過24 小時(shí)。從另一方面來講，當(dāng)時(shí)的反病毒/反入侵對抗主要依賴的機(jī)制是一種捕獲、辨識、分析、提取簽名、發(fā)布規(guī)則庫/病毒庫。由于感知時(shí)間不超過24個(gè)小時(shí)，這種機(jī)制在蠕蟲時(shí)代和病毒時(shí)代一直工作的很好。

2010前后進(jìn)入APT時(shí)代，有三個(gè)非常典型的APT事件：Stuxnet、Duqu和Flame。從釋放時(shí)間和發(fā)現(xiàn)時(shí)間我們可以看到，Stuxnet是在2010年7月被發(fā)現(xiàn)的，根據(jù)其對應(yīng)的時(shí)間戳信息，我們認(rèn)為它的釋放時(shí)間是在2009年6月。Duqu是在2011年8月被發(fā)現(xiàn)的，目前認(rèn)為它的釋放時(shí)間是在2007年底或在2008年初。Flame則更晚，它在2012年5月才被發(fā)現(xiàn)，但從其相關(guān)的注冊域名來看，其體系在2007年底就已經(jīng)開始了早期的活動(dòng)。

從上面的時(shí)間對比中，我們可以看出令整個(gè)安全業(yè)界感到非常尷尬的一點(diǎn)，就是這些APT攻擊至少存在了幾乎一年之久(火焰幾乎長達(dá)5年)才被業(yè)內(nèi)廣泛感知和進(jìn)行相應(yīng)處理。而更讓安全業(yè)界感到尷尬的是，F(xiàn)lame是在用戶提交樣本的配合下，才最終被發(fā)現(xiàn)的。

從上面對比我們可以看出，在APT時(shí)代，安全廠商已經(jīng)由“24小時(shí)”敏銳感知能力退化到了以“月“甚至以“年”為單位的遲鈍感知能力。

在APT時(shí)代，基于事后簽名機(jī)制的傳統(tǒng)產(chǎn)品，如IPS、IDS、殺毒軟件等產(chǎn)品受到極大的挑戰(zhàn)，由于感知能力比較差，感知時(shí)間比較長，面對APT攻擊時(shí)，這種事后簽名機(jī)制幾乎失效。

我們來分析下，是什么原因?qū)е挛覀傾PT感知能力比較差呢?APT時(shí)代，整個(gè)惡意代碼的分布不再與信息化程度相關(guān)，而是和它的初始投放目標(biāo)和地理位置有關(guān)。第一個(gè)原因就是定向攻擊。APT攻擊是高級持續(xù)的威脅這三個(gè)詞的縮寫，在我們看來更是高級持續(xù)的定向攻擊。第二個(gè)原因是針對某些安全產(chǎn)品進(jìn)行攻擊。在韓國320事件中，韓國的銀行和電視臺多安裝了本土的殺毒軟件安博士，然而在本次事件中，安博士不但沒有起到殺毒的作用，反而在攻擊中被殺掉了。今年5月份發(fā)生的美國勞工部網(wǎng)站被黑事件，攻擊代碼中的一段代碼就是針對Bitdefender殺毒軟件，導(dǎo)致Bitdefender不但沒有查到攻擊，相反在這次的攻擊中被關(guān)閉了。

從這兩個(gè)事件可以看出，APT攻擊的針對性非常強(qiáng)，攻擊者對對方的信息了解的非常多，包括操作系統(tǒng)、使用的軟件(安全軟件、郵件賬號、微博賬號等等)，所以在APT事件中，殺毒軟件/傳統(tǒng)防御產(chǎn)品件往往是第一個(gè)失效的。

第三個(gè)原因，利用文檔發(fā)起攻擊。因?yàn)閭鹘y(tǒng)的IDS/IPS、AV對文檔解析能力弱，另外，文檔可能涉及到隱私和秘密，用戶對提交該類文件有疑慮，導(dǎo)致該類危害不能及時(shí)反饋到安全廠家手上。第四個(gè)原因，APT攻擊中往往包含有零日攻擊和特馬(專門逃避傳統(tǒng)安全產(chǎn)品查殺的木馬)。