据统计，2013年1-6月新增木马月均上亿，其中未知木马增幅明显。在安全漏洞方面，零日漏洞占比居高不下。威胁防御难度正在以指数速度增长，安全威胁在变得愈发复杂，需要实现综合的安全防御。APT类攻击主要是未知威胁，其所采用独特的攻击方式和手段，使得传统依靠特征库的网关产品已经不适合于对APT形成有效防御。面对新安全形势下的新威胁，传统安全防护设备亟需做出调整和升级。

　　APT攻击主要面向政府机构、重要信息部门、高新技术单位等，震网病毒、火焰病毒、红色十月……APT攻击正在亮出其锋利的獠牙。据统计，震网病毒拖后了伊朗核计划达两年之久。火焰病毒同样利用未知漏洞感染主机，进而感染全网，记录键盘操作、屏幕信息，甚至进行录音，在获取机密数据后，其还会将其自身销毁。来无踪去无影是APT类攻击所最求的最高境界，但这对于安全防御者而言则不是一个好消息。因为当APT类攻击被发现时，往往攻击可能已经达成目的。

　　安全专家认为，APT攻击的解决思路主要有，主机应用保护、网络入侵检测、数据防泄密、大数据分析审计、网关恶意代码检测等。

　　Bit9就是通过白名单比对机制发现恶意程序，这种方式容易部署、维护、快速，但检测率完全依靠于白名单的数量，而且在未知威胁面前防御很弱。FireEye对未知威胁检测率很高，部署简单，但性能较低。RSA通过大数据分析进行检测，理论检测率很高，但不易于维护，对资源要求很高。启明星辰的网关级APT防御方案，会首先在网关本地安全特征库进行检测，然后进一步在私有云中心的黑白名单进行检测，如果还无法确认未知威胁，还将在沙箱里虚拟执行，实现单点诱发全网实时同步获取执行结果。这样一方面提高了检测率，可以实现实时防御，拥有较高性能，而且易于维护。

　　可检测、可阻挡是启明星辰网关级APT攻击解决方案的主要目标，实现高检测率和高性能之间的平衡。在APT攻击第一步——充分利用合法请求试图发起欺诈攻击时，就可以在网关里通过特征库进行初步分析。当APT攻击试图传送包含0day漏洞的受信任文件时，私有云里的白名单库将对文件信誉进行评估。而当APT攻击利用0day漏洞、未知病毒木马等多种方式进行组合渗透并定向扩散时，私有云里的黑名单库和虚拟执行可以进行及时的发现。在APT攻击的事中阶段进行发现并实现阻断是启明星辰的主要目标。

　　传统方案要进行多点检测、统一分析、统一运维，这需要一个好的安全管理系统才能够实现，而且其实时决策点在网络之外。而启明星辰则将实时决策点放在了网络之内，突出实时分析的同时拥有防御能力。

　　启明星辰的网关级APT攻击解决方案非常强调“判定”，并不仅仅提供一个可参考的数据，给出结论并实施正确的防御是启明星辰所要做到的。为了保证“判定”的准确率，启明星辰采取了多种手段，比如在私有云里就增加了相关判定机制，为“判定”提供了进一步的保障。

　　启明星辰为用户建立的私有云防护中心可以弹性扩展，根据防护需求进行资源的弹性扩展。私有云中心的环境可以通过定制完全模拟用户的企业业务网络环境，实现对APT攻击更具真实性的迷惑，让其更快露出作恶的痕迹。启明星辰所建立的私有云检测中心采取多种防躲避沙箱的技术，能够实现对APT类攻击的更早发现。

　　对于APT攻击的识别并不仅仅是简单的特征数据叠加，还需要有相关的识别判别知识，实现真正的Security in Knowledge才能实现对APT攻击更为有效的防御。启明星辰的网关级APT防御解决方案，把用户网络环境的网关防护提升至新的高度，为用户提供更加值得信赖、更加稳固的网络安全解决方案。