发布时间：2023 年 12 月 20 日
撰稿人：Gregg Lindemulder、Amber Forrest
传统的防病毒软件依靠基于特征码的检测来识别以前已知的威胁，而 NGAV 则不同，它可以近乎实时地检测未知的恶意软件威胁和恶意行为。因此，它提供了一种更有效的方法来应对勒索软件、脚本攻击、无文件恶意软件和零日漏洞等现代威胁。
传统的防病毒解决方案使用恶意软件签名数据库和启发式方法来检测台式电脑、笔记本电脑、平板电脑和智能手机等终端设备中的病毒。这些签名实际上是文件中的字符串，表明可能存在病毒。
这种方法使端点容易受到尚未被识别并编入签名数据库的潜在威胁的攻击。即使经常更新签名，新的或未知的恶意文件也可能未被发现。
相比之下，NGAV 解决方案使用行为检测来识别与网络攻击相关的计策、技术和程序 (TTP)。机器学习算法可持续监控事件、进程、文件和应用程序是否存在恶意行为。
如果未知漏洞首次成为零日攻击的目标，NGAV 可以检测并阻止该尝试。NGAV 还能防止无文件攻击，如利用 Windows PowerShell 和文档宏的攻击，或诱导用户点击执行无文件恶意软件链接的网络钓鱼电子邮件。
作为一种基于云的技术，NGAV 的部署和管理也比传统的同类技术更快速、更简单、更具成本效益。NGAV 能够监控端点活动并提供即时事件响应，因此可以阻止黑客用来渗透系统的许多攻击媒介。
虽然不同供应商的功能各不相同，但大多数 NGAV 解决方案都提供以下功能：
虽然 NGAV 比传统防病毒软件更有效，但它并非万无一失。有时，它可能会返回误报或未检测到病毒。网络罪犯和黑客仍在不断创造和测试新的方法来躲避最新的防病毒保护技术。
如果端点设备上的 NGAV 防御措施遭到破坏，组织通常依赖其他技术，例如端点检测和响应 (EDR)、统一端点管理 (UEM) 或安全信息和事件管理 (SIEM)。这些安全解决方案提供了一种更广泛的全系统方法，用于预防和缓解跨越许多不同端点的网络威胁。
