1. 傳統(tǒng)特征匹配+虛擬執(zhí)行引擎。代表：FireEye

基于行為異常的檢測方法核心思想是通過沙箱（高級蜜罐）模擬運行環(huán)境，把未知程序真實運行一遍，從程序工作的行為判斷其合法性。

優(yōu)點：判斷準(zhǔn)確性較高，不易誤判或漏判；

缺點：計算資源消耗比較大，部署成本較高。

2. 基于白名單的終端安全檢測方案。代表：Bit9

基于在公有云上部署的白名單庫，對安裝在用戶終端上的終端軟件提供注冊服務(wù)，凡在白名單庫里未注冊過的文件均被終端禁止訪問，同時其終端軟件具有終端管理軟件常見的屬性，如移動設(shè)備控制、注冊表保護(hù)等。

優(yōu)點：節(jié)省了計算資源，部署成本低；

缺點：不夠靈活，根據(jù)事先定義的特征，很有可能導(dǎo)致阻斷合法應(yīng)用。