恶意软件预防

时间：2023年5月7日 星期日

作者：小王

• 一、易受恶意软件攻击的平台
• 二、反恶意软件
  • 1.特征型
  • 2.启发式
• 三、完整性监控
• 四、高级威胁保护
  • 1.终端检测和响应（EDR）
  • 2.用户和实体行为分析（UEBA）
  • 3.下一代终端保护工具

一、易受恶意软件攻击的平台

跟平台的流行程度基本一致，早些时候都集中在Windows平台，现在Mac、androids等系统的恶意软件越来越多。

二、反恶意软件

反恶意软件即杀毒软件是最基础的安全措施。主要有两种检测机制：

1.特征型

基于庞大病毒库来进行检测，误报率低、检测效率高、仅能检测已知恶意软件，检测能力与病毒库强绑定关系，因此需及时更新病毒库。

2.启发式

基于恶意软件行为进行检测，误报率高、检测效率低、可以检测未知恶意软件。

三、完整性监控

完整性监控工具（如Tripwire）也提供了辅助反恶意软件的能力，通过计算文件哈希值并定期检查来发现恶意软件感染迹象。

四、高级威胁保护

1.终端检测和响应（EDR）

除了包含反恶意软件功能外，还加入了检测和消除威胁的能力。

• 分析终端内存、文件系统和网络活动是否存在恶意活动迹象；

• 自动隔离可能的恶意活动控制潜在危害；

• 集成威胁情报源，实施洞察其他地区的恶意行为；

• 与其他事故响应机制集成以自动化方式工作。

许多安全厂商提供托管服务，被称为托管检测和响应（MDR）服务。

2.用户和实体行为分析（UEBA）

关注用户活动并构建正常活动模型，基于模型偏差检测恶意行为。

3.下一代终端保护工具

反恶意软件保护、文件完整性监控、终端检测与响应和用户实体行为分析集成使用。