龙源期刊网httpwwwqika
comc

其他主流APT解决方案
作者：来源：《中国计算机报》2014年第26期
1传统特征匹配虚拟执行引擎。代表：FireEye基于行为异常的检测方法核心思想是通过沙箱（高级蜜罐）模拟运行环境，把未知程序真实运行一遍，从程序工作的行为判断其合法性。优点：判断准确性较高，不易误判或漏判；缺点：计算资源消耗比较大，部署成本较高。2基于白名单的终端安全检测方案。代表：Bit9基于在公有云上部署的白名单库，对安装在用户终端上的终端软件提供注册服务，凡在白名单库里未注册过的文件均被终端禁止访问，同时其终端软件具有终端管理软件常见的属性，如移动设备控制、注册表保护等。优点：节省了计算资源，部署成本低；缺点：不够灵活，根据事先定义的特征，很有可能导致阻断合法应用。
fr