Entry № 815
新一代杀毒软件 (NGAV)
新一代杀毒软件 (NGAV) 是什么?
新一代杀毒软件 (NGAV)在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
新一代杀毒软件(NGAV)在 2010 年代中期兴起,以应对仅依赖特征码的 AV 局限。CrowdStrike Falcon、SentinelOne Singularity、Microsoft Defender for Endpoint、VMware Carbon Black、Cybereason 等产品结合云端训练的 ML 分类器、监控进程与 API 遥测的行为分析模块、利用缓解组件以及基于"攻击指标"(IOA)的检测。NGAV 能拦截传统签名难以察觉的无文件技术,如 LOLBins 和反射式 DLL 加载,通常与 EDR/XDR 传感器一起作为预防层提供。NIST SP 800-83 与 MITRE Engenuity ATT&CK Evaluations 对该类别做了描述与基准。NGAV 可降低驻留时间,但在开发密集环境中需调优以控制误报。
● 示例
- 01
CrowdStrike Falcon Prevent 根据行为模式拦截一例从未见过的勒索软件,而非依赖签名。
- 02
Microsoft Defender ASR 规则阻止 Office 宏派生子进程。
● 常见问题
新一代杀毒软件 (NGAV) 是什么?
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。 它属于网络安全的 防御与运营 分类。
新一代杀毒软件 (NGAV) 是什么意思?
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
如何防御 新一代杀毒软件 (NGAV)?
针对 新一代杀毒软件 (NGAV) 的防御通常结合技术控制与运营实践,详见上方完整定义。
新一代杀毒软件 (NGAV) 还有哪些其他名称?
常见的别称包括: NGAV, 下一代 AV。