9月25日，中国互联网安全大会(ISC 2014)继续在北京国家会议中心召开。在APT防御技术分论坛上，国内知名反病毒专家、安天实验室首席技术架构师肖新光(网名“江海客”)，发表名为《APT事件样本集的度量》的主题演讲，针对APT事件样本集等方面进行技术分析与阐述，并现场演示APT攻击的整个过程。

　　肖新光用多个实例反应了APT其整个作业链条的攻击过程，在现场主要讲解了三个部分。第一是关于APT的线索，第二个是样本之间的关联，第三个是样本集的度量并从APT的线索说起，分析次攻击高度的定向性和隐藏性。他认为，其实样本并不重要，因为我们对每一个攻击事件，事后都能找到很多样本，这个事件最为重要。

　　那么如何把事件和样本之间的关系建立起来?这是一个很关键的问题。肖新光通过熊猫烧香以及多项具体事件等，阐述通过条件关联方法，建立样本集合。他指出APT很重要的一点是有被入侵的场景复杂度，可能有一个复杂的样本集合。

　　如果把某些APT攻击看作是一种病毒攻击的话，肖新光在现场做的是还原病毒的DNA，APT是一种长期隐蔽的病毒攻击，把它的基因搞清楚了才能开始予以治疗防御。