当前我国在高级威胁检测方面面临以下问题：从国家安全和社会安全层面来看，能力投入相对离散、协同能力不足；从政企安全层面来看，我们的存量系统中大量存在着无效防护和防护缺失的问题，基础安全运维能力不足、人员不足，投入不平衡；在个人安全层面，个人数据泄露、远程办公、个人防护意识较弱等风险也较为严峻。

在端点防护中，如果能把主动防御和数据采集两种能力相结合，则不仅能通过攻击动作发现威胁，还可以对整个攻击过程进行回溯。EDR（Endpoint  Detection & Response）能够实现对操作系统行为高清记录和长期存储，根据行为规则 IOA 和外部特征库 IOC 来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测，并通过绘制进程事件树实现攻击可视化，对威胁的疑似主机进行远程遏制和修复。EDR 填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。国内网络安全厂商基于技术底蕴积累、主攻方向、产品设计理念和市场定位等诸多方面的差异性，推出多种 EDR 产品及解决方案，目前呈现百花齐放的盛景，与国外相关技术研究并驾齐驱。

由于 APT 攻击广泛使用 0day 漏洞、隐蔽通信、签名仿冒，驱动了传统反病毒厂商进行产品和技术的改进，逐步开始探索传统网络侧检测设备与沙箱结合的产品形态。为有效检测高级威胁，深度分析类产品需要内置多种分析鉴定器，从多维度对文件进行分析鉴定，包括黑白名单检测、文件来源检测、元数据提取、数字证书提取、静态启发式检测、动态分析等，可有效检测未知漏洞利用、免杀木马、商业军火、APT 组织的专用木马等高级威胁，提升 高级威胁对抗能力。

ATT&CK、TCTF 等网空威胁框架是一套科学的方法和工具体系，能够更深入地认知 APT 形式的网空威胁，系统全面地分析其攻击意图、手法、过程与技术，达成增强防御有效性的目标。运用威胁框架可以科学度量和系统提升网络安全防护体系的相关实践，评估和提升当前产品能力，增强针对高级威胁对抗能力。威胁框架既为安全厂商提供了改进点指南，也为相关的客户和管理部门提供了如何评价“何为有效的安全产品”的能力参考。当前主流能力型安全厂商正在应用网空威胁框架的指导构筑能力型的安全产品，形成动态综合的防御体系，达成客户有效的安全价值。

态势感知系统能够高效地实现威胁与脆弱性检测识别、安全事件理解分析、攻击与影响预测、协同联动处置、情报与知识生产，实现安全态势的全面感知与安全业务的融合贯通，对日趋复杂的网络攻击进行更为精准地发现与打击，从而保障响应行动的及时性和有效性，支撑协同联动的实战化运行，协助用户筑起可对抗高级威胁的网络安全防线。当前态势感知系统已在多个关键信息基础设施行业实现成熟应用。

威胁情报平台是基于海量流量侧和端点侧威胁感知能力和自动化样本采集分析体系，形成高质量的自有威胁情报库、威胁知识库，结合外部情报提供快速查询与获取威胁情报的能力。利用简便的交互式威胁关联与同源分析的方法，能形成威胁分析和追踪溯源能力，对全球 APT 组织行动的持续追踪与分析，支持检索大量的详尽的 APT 攻击组织、威胁事件分析报告，使用户全面了解攻击对手，为及时做出决策和行动提供重要支撑。

“震网”、“白象”等攻击事件都表明在网络攻防对抗中，对于高能力 / 超高能力威胁行为体行动的感知普遍有限，溯源十分困难，因而防御工作无法做到有的放矢。我国关键信息基础设施的网络安全防护形势严峻，面对高能力 / 超高能力网空威胁行为体的网络威胁，在具备有效防御体系的基础上，还需实施持续常态化威胁猎杀（Threat Hunting），以期能够提高保障等级。尤其是在缺失有效防御体系的情况下，更需要针对潜伏的威胁展开威胁猎杀行动，从而做到对突发威胁的“找出来”和“赶出去”。目前，各个厂商都在积极开展威胁猎杀活动，安天将威胁猎杀划分为威胁猎杀分析、现场协同与后台支撑服务、现场排查三个层面。在这三个层面，相应人员在负责各自工作的同时，也会根据其他层次的输入信息进行工作，并生成相应的输出信息给予不同的层面，实现三个层次相互之间的协同联动进而展开威胁猎杀工作。