新一代杀毒软件 (NGAV)
新一代杀毒软件 (NGAV) 是什么?
新一代杀毒软件 (NGAV)在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
新一代杀毒软件(NGAV)在 2010 年代中期兴起,以应对仅依赖特征码的 AV 局限。CrowdStrike Falcon、SentinelOne Singularity、Microsoft Defender for Endpoint、VMware Carbon Black、Cybereason 等产品结合云端训练的 ML 分类器、监控进程与 API 遥测的行为分析模块、利用缓解组件以及基于"攻击指标"(IOA)的检测。NGAV 能拦截传统签名难以察觉的无文件技术,如 LOLBins 和反射式 DLL 加载,通常与 EDR/XDR 传感器一起作为预防层提供。NIST SP 800-83 与 MITRE Engenuity ATT&CK Evaluations 对该类别做了描述与基准。NGAV 可降低驻留时间,但在开发密集环境中需调优以控制误报。
● 示例
- 01
CrowdStrike Falcon Prevent 根据行为模式拦截一例从未见过的勒索软件,而非依赖签名。
- 02
Microsoft Defender ASR 规则阻止 Office 宏派生子进程。
● 常见问题
新一代杀毒软件 (NGAV) 是什么?
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。 它属于网络安全的 防御与运营 分类。
新一代杀毒软件 (NGAV) 是什么意思?
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
新一代杀毒软件 (NGAV) 是如何工作的?
新一代杀毒软件(NGAV)在 2010 年代中期兴起,以应对仅依赖特征码的 AV 局限。CrowdStrike Falcon、SentinelOne Singularity、Microsoft Defender for Endpoint、VMware Carbon Black、Cybereason 等产品结合云端训练的 ML 分类器、监控进程与 API 遥测的行为分析模块、利用缓解组件以及基于"攻击指标"(IOA)的检测。NGAV 能拦截传统签名难以察觉的无文件技术,如 LOLBins 和反射式 DLL 加载,通常与 EDR/XDR 传感器一起作为预防层提供。NIST SP 800-83 与 MITRE Engenuity ATT&CK Evaluations 对该类别做了描述与基准。NGAV 可降低驻留时间,但在开发密集环境中需调优以控制误报。
如何防御 新一代杀毒软件 (NGAV)?
针对 新一代杀毒软件 (NGAV) 的防御通常结合技术控制与运营实践,详见上方完整定义。
新一代杀毒软件 (NGAV) 还有哪些其他名称?
常见的别称包括: NGAV, 下一代 AV。
● 相关术语
- defense-ops№ 050
杀毒软件 (AV)
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 1254
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
- defense-ops№ 091
行为检测
通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- network-security№ 1043
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。