恶意软件预防
时间:2023年5月7日 星期日
作者:小王
一、易受恶意软件攻击的平台
跟平台的流行程度基本一致,早些时候都集中在Windows平台,现在Mac、androids等系统的恶意软件越来越多。
二、反恶意软件
反恶意软件即杀毒软件是最基础的安全措施。主要有两种检测机制:
1.特征型
基于庞大病毒库来进行检测,误报率低、检测效率高、仅能检测已知恶意软件,检测能力与病毒库强绑定关系,因此需及时更新病毒库。
2.启发式
基于恶意软件行为进行检测,误报率高、检测效率低、可以检测未知恶意软件。
三、完整性监控
完整性监控工具(如Tripwire)也提供了辅助反恶意软件的能力,通过计算文件哈希值并定期检查来发现恶意软件感染迹象。
四、高级威胁保护
1.终端检测和响应(EDR)
除了包含反恶意软件功能外,还加入了检测和消除威胁的能力。
• 分析终端内存、文件系统和网络活动是否存在恶意活动迹象;
• 自动隔离可能的恶意活动控制潜在危害;
• 集成威胁情报源,实施洞察其他地区的恶意行为;
• 与其他事故响应机制集成以自动化方式工作。
许多安全厂商提供托管服务,被称为托管检测和响应(MDR)服务。
2.用户和实体行为分析(UEBA)
关注用户活动并构建正常活动模型,基于模型偏差检测恶意行为。
3.下一代终端保护工具
反恶意软件保护、文件完整性监控、终端检测与响应和用户实体行为分析集成使用。