你把检测可疑活动的抗病毒称为什么?
你把检测可疑活动的抗病毒称为什么?
提问于 2017-11-07 13:03:42
传统的杀毒软件在静止时扫描数据,在传输中扫描已知的病毒签名。(其中“病毒”包括特洛伊木马、rootkit等)
在防御零日入侵和主动入侵时,这一点也没有帮助。根据定义,他们没有已知的签名。对可疑活动(而不是已知的签名)作出反应的反病毒是什么?
回答 2
Security用户
回答已采纳
发布于 2017-11-07 13:03:42
所描述的传统技术听起来像是一个基于签名和主机的入侵检测系统。(IDS是一个宽泛的术语,包括防病毒软件。)
除了已知的不良数据外,一些系统还可以检测已知的不良行为模式。这些模式定义不是动态的,所以您可能仍然认为它们是“签名”。在消费者杀毒软件中,这一特性有时包含在总括术语“实时保护”下。
动态(非签名)实现将被称为基于异常的入侵检测系统。这依赖于机器学习来生成用于检测可疑行为的启发式方法。
Security用户
发布于 2017-11-07 13:43:56
寻找可疑活动的病毒扫描器通常被称为启发式分析。它可以在某种沙箱(一种特殊的虚拟机)中运行一个应用程序来分析程序的行为。它将寻找常见的病毒活动,如复制和试图隐藏自己。
随着新病毒的发现,反病毒制造商可能会将病毒行为添加到规则引擎中,以便将来的变体也被发现。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/172984
复制相关文章
相似问题
腾讯云开发者
