纵览三种热门安全方法的优缺点

核心提示： 启发式算法常常被用来鉴定异常行为，通过分析过去的网络流量和电子邮件等并将其与目前模式进行比较，纵览三种热门安全方法的优缺点(2)，或者通过分析代码本身的结构，启发式引擎通常是以规则为基础的，白名单技术白名单技术的宗旨是不阻止某些特定的事物，它采取了与黑名单相反的做法，它能够“学

启发式算法常常被用来鉴定异常行为，通过分析过去的网络流量和电子邮件等并将其与目前模式进行比较，或者通过分析代码本身的结构。启发式引擎通常是以规则为基础的，它能够“学习”以往的经验，并建立相应的新规则。大多数防病毒程序都是在签名更新可用之前，使用启发式算法来识别恶意软件威胁及其变种。

前美国联邦调查局犯罪学家John Douglas是行为特征技术方面资深专家，他表示，行为特征研究是形式调查中很有效的手段，事实上这种技术应该是在其他传统调查方法使用后才运用。换句话说，仅靠特征技术不足以作为犯罪行为的指标，也就是说，仅靠行为安全技术是不能够充分地保护你地网络和电脑地。它可能会允许一些已知恶意软件通过，因为这些恶意软件看起来像合法代码，更严重的问题是，它可能将某些形迹可疑的合法程序标记为恶意软件，行为安全技术的误报率是非常高的。

黑名单技术

在计算机安全中，黑名单只是一种防止已经恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法，更新黑名单可以快速通过更新服务器来实现，大多数防病毒程序使用的是黑名单技术来阻止已知威胁，垃圾邮件过滤器往往需要依赖于黑名单技术。

黑名单技术只在某些应用中能够发挥良好作用，当然前提是黑名单内容准确性和完整性。基于黑名单技术的垃圾邮件过滤的一个共同问题是对合法发件人的阻止。

黑名单的另一个问题就是，它只能抵御已知的有害的程序和发送者，不能够抵御新威胁(零日攻击等)，对进入网络的流量进行扫描并将其与黑名单对比还可能浪费相当多的资源以及降低网络流量。

白名单技术

白名单技术的宗旨是不阻止某些特定的事物，它采取了与黑名单相反的做法，利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单，以下是白名单技术的优点：