其他主流APT解决方案

1. 传统特征匹配+虚拟执行引擎。代表：FireEye

基于行为异常的检测方法核心思想是通过沙箱（高级蜜罐）模拟运行环境，把未知程序真实运行一遍，从程序工作的行为判断其合法性。

优点：判断准确性较高，不易误判或漏判；

缺点：计算资源消耗比较大，部署成本较高。

2. 基于白名单的终端安全检测方案。代表：Bit9

基于在公有云上部署的白名单库，对安装在用户终端上的终端软件提供注册服务，凡在白名单库里未注册过的文件均被终端禁止访问，同时其终端软件具有终端管理软件常见的属性，如移动设备控制、注册表保护等。

优点：节省了计算资源，部署成本低；

缺点：不够灵活，根据事先定义的特征，很有可能导致阻断合法应用。