APT攻击一般按照攻击链的方式进行攻击。[出自:jiwo.org]
攻击链条分为三个阶段：
1.威胁进入阶段
2.威胁扩散阶段
3.数据窃取阶段。

APT攻击检测和防御，重点在于前两个阶段，威胁尝试进入和扩散，大数据分析利用威胁情报系统，对网络，邮件，安全，操作系统等层面的数据进行索引汇总，统计，关联分析，来检测进入企业的威胁。这是大数据分析在APT威胁检测领域的应用。

对于0Day漏洞，绿盟更多的利用部署在网络边界的威胁分析系统进行实时监控，通过对样本的静态分析和动态分析，判断是否存在威胁。经过样本分析引擎进行分析后，可以获得样本是否利用了0Day漏洞，根据样本自身的信誉信息，比如文件签名，样本用到的回连CnC地址，可以借助大数据引擎，对当前的数据以及归档的历史数据进行分析，定位和回溯受到影响的主机、用户等信息。

有人有不别的意见吗？