传统的防病毒解决方案使用恶意软件签名数据库和启发式方法来检测台式电脑、笔记本电脑、平板电脑和智能手机等终端设备中的病毒。这些签名实际上是文件中的字符串，表明可能存在病毒。

这种方法使端点容易受到尚未被识别并编入签名数据库的潜在威胁的攻击。即使经常更新签名，新的或未知的恶意文件也可能未被发现。

相比之下，NGAV 解决方案使用行为检测来识别与网络攻击相关的计策、技术和程序 (TTP)。机器学习算法可持续监控事件、进程、文件和应用程序是否存在恶意行为。

如果未知漏洞首次成为零日攻击的目标，NGAV 可以检测并阻止该尝试。NGAV 还能防止无文件攻击，如利用 Windows PowerShell 和文档宏的攻击，或诱导用户点击执行无文件恶意软件链接的网络钓鱼电子邮件。

作为一种基于云的技术，NGAV 的部署和管理也比传统的同类技术更快速、更简单、更具成本效益。NGAV 能够监控端点活动并提供即时事件响应，因此可以阻止黑客用来渗透系统的许多攻击媒介。

虽然不同供应商的功能各不相同，但大多数 NGAV 解决方案都提供以下功能：

• 机器学习算法：NGAV 可以近乎实时地检查数以千计的文件特征和端点活动，并识别异常情况和意外操作，从而帮助检测并阻止已知和未知威胁。
  
  
• 行为分析：NGAV 可通过分析用户、设备、应用程序和系统来制定基线行为，并识别表明存在恶意活动或网络攻击的可疑行为。
  
  
• 威胁情报：许多 NGAV 解决方案都可以集成有关特定恶意软件攻击的来源、策略和影响的最新威胁情报，以帮助更快速、更有效地检测和阻止这些攻击。
  
  
• 预测分析：NGAV 可以将收集到的大量数据输入预测模型，从而在恶意软件或潜在网络攻击发生前检测到其可能存在，然后采取行动防止或尽量减少损失。

虽然 NGAV 比传统防病毒软件更有效，但它并非万无一失。有时，它可能会返回误报或未检测到病毒。网络罪犯和黑客仍在不断创造和测试新的方法来躲避最新的防病毒保护技术。

如果端点设备上的 NGAV 防御措施遭到破坏，组织通常依赖其他技术，例如端点检测和响应 (EDR)、统一端点管理 (UEM) 或安全信息和事件管理 (SIEM)。这些安全解决方案提供了一种更广泛的全系统方法，用于预防和缓解跨越许多不同端点的网络威胁。