火绒安全软件

标题: 多步判断型主防强，还是单步判断型主防强？【投票】 [打印本页]

作者: 肚子饿就吃饭 时间: 2018-9-20 11:38
标题: 多步判断型主防强，还是单步判断型主防强？【投票】
多步判断型主防强，还是单步判断型主防强？

作者: Nobuchika 时间: 2018-9-20 13:05
本帖最后由 Nobuchika 于 2018-9-20 13:09 编辑

各有优缺点。

单步的优点在于能阻断威胁关键行为，使其报错退出、保护系统环境、不须频繁更新规则等，但缺点是部分样本阻断后仍继续产生破坏行为、或是在选择阻止/放行需要有一定计算机基础。

多步的优点在于，能明确表示威胁结果，并加以回滚、复原，多步又可分为规则型和打分型，但需要更新"规则库"或"判断模型"强化防御能力、降低误报。
以一款合格的安软来说，单步和多步都是必要的存在，多层防御才能确保使用者安全，现在也有将单步和云判断规则结合的产品存在，降低本地规则被针对、免杀的可能性(放在云端相当于，你要跑一次样本流程才能确认结果，但触发的同时这个样本也暴露给云，云端也能快速拉黑这个样本)，任何防御技术都需要多种方式连动才能获得最大效益。

作者: 肚子饿就吃饭 时间: 2018-9-21 12:21

Nobuchika 发表于 2018-9-20 13:05
各有优缺点。

单步的优点在于能阻断威胁关键行为，使其报错退出、保护系统环境、不须频繁更新规则等，但缺 ...

这样啊，长知识了

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)