1. 传统特征匹配+虚拟执行引擎。代表:FireEye
基于行为异常的检测方法核心思想是通过沙箱(高级蜜罐)模拟运行环境,把未知程序真实运行一遍,从程序工作的行为判断其合法性。
优点:判断准确性较高,不易误判或漏判;
缺点:计算资源消耗比较大,部署成本较高。
2. 基于白名单的终端安全检测方案。代表:Bit9
基于在公有云上部署的白名单库,对安装在用户终端上的终端软件提供注册服务,凡在白名单库里未注册过的文件均被终端禁止访问,同时其终端软件具有终端管理软件常见的属性,如移动设备控制、注册表保护等。
优点:节省了计算资源,部署成本低;
缺点:不够灵活,根据事先定义的特征,很有可能导致阻断合法应用。