面對不同類型的攻擊，安全策略也必然會有所不同。過去十年間，安全服務關(guān)注的大多是普遍發(fā)生的民用攻擊，而在最近兩年間，高級攻擊的發(fā)現(xiàn)與防御成為國內(nèi)安全工作者的重要焦點。

從基本安全策略來看：對于民用攻擊來說，安全服務考慮的重點自然是如何進行有效的防御;而對于高級網(wǎng)絡攻擊（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）來說，則應以“一定防不住”為出發(fā)點制定安全策略，優(yōu)先考慮的不是如何防，而是如何才能夠看見和發(fā)現(xiàn)新的威脅。

從防護優(yōu)先級來看：在民用攻擊中，安全服務會優(yōu)先査殺和防御那些攻擊范圍廣、感染量大的木馬病毒，而對于偶發(fā)的個例攻擊，則可能會在兼顧效率的原則下，有選擇地忽略;

但在高級網(wǎng)絡攻擊中，即便是只有一個用戶被攻擊，安全服務也不能輕易的將其忽敘略，因為這一個用戶就有可能是一個高價值APT目標。

從防御的深度來看：在民用攻擊中，安全服務只要能成功阻止攻擊，就算是防御成功了，通常不會特別關(guān)心攻擊的源頭和背后的攻擊者;

但在面對高級攻擊時，安全服務（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）就必須要具有關(guān)聯(lián)分析和溯源分析的能力，因為只要攻擊的源頭還存在，那么對特定目標的攻擊就不會停止。

從這個角度看，民用攻擊中的安全服務就像是小區(qū)保安，只管保護，不管抓人也不管破案;而高級攻擊中的安全服務則像是偵探或警察，必須有能力分析現(xiàn)場，追捕嫌疑人。

從核心技術(shù)手法來看：民用攻擊的防御主要靠的是具體的攻防技術(shù)，包括驅(qū)動、引擎、沙箱、云端技術(shù)等多個方面;

但高級攻擊的發(fā)現(xiàn)主要靠的是數(shù)據(jù)技術(shù)，包括數(shù)據(jù)采集、數(shù)據(jù)分析與數(shù)據(jù)呈現(xiàn)等多個方面。沒有大規(guī)模、詳實的數(shù)據(jù)記錄，就不太可能發(fā)現(xiàn)那些隱蔽性極強的高級攻擊;同樣，如果沒有足夠效率的數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，也無法真正有效地追蹤攻擊者的實時變化。

當我們需要在一個企業(yè)的內(nèi)部網(wǎng)絡中發(fā)現(xiàn)高級攻擊時，就需要對這個企業(yè)內(nèi)部網(wǎng)絡的數(shù)據(jù)進行充分的采集和記錄;而當我們需要在整個互聯(lián)網(wǎng)上分析或捕獲高級攻擊時，則需要我們對整個互聯(lián)網(wǎng)的數(shù)據(jù)有充分的采集和記錄，并且有足夠的大數(shù)據(jù)處理能力來快速的從海量數(shù)據(jù)中撈出針一樣細小的高級攻擊事件。