零时差攻击的保护方案

　　McAFee监测不当行为

　　一般旧有的记号分析扫毒法已不能有效地对抗相关的系统入侵。近年来取而代之的系统保护技术，是行为侦测的监测方式。以使用IE的视窗的用户为例，一般而言，两者之间的沟通都是在应用程式介面（Application Programming Interface，API）的内核中进行。McAfee的系统保安软件运行原理，就是监测两者在当中进行。McAfee的系统保安软件运行原理，就是监测两者在当中的执行情况，对一切有怀疑的程式码（Script）都会加以阻挡。就算有关的行为在病毒定义之内没有记载，为安全计保安软件都会作出阻止，以察安全。

　　Symantec四大技术保护

　　目前，在市场上也有很多厂商已提供具备零时差保护的方案。如Symantec在针对零时差攻击的保安方案上，主要有四大项，包括入侵防御系统（IPS）、应用防火墙（Application Firewall）、行为侦测技术（Behavior-based Protection）及伺服器强化（Server-Hardening）四项。入侵防御系统用于监察深层侦察网络层级的网络流量有否异动；应用防火墙则封锁连接埠以阻止异常的网络入侵；伺服器强化则封锁伺服器的应用。行为侦测技术相比其它技术较为有效地阻止零时差攻击。

　　Sophos具备BGP

　　Sophos向用户提供的零时差保护系统名为“行为基因保障”（Behavioral Genotype Protection，BGP）。BGP可以对用户所使用的网络封包（Network Packets）、档案、电邮、及即时讯息等的执行作出分析，对于有异动的程式举动都会加以封锁。无论有问题的档案是位于USB手指磁碟、光碟或是网络磁碟上，Sophos保安软件都会对其作出隔离，避免用户成为零时差攻击的猎物。同时，该公司在澳洲悉尼设立了SophosLabs，可以为亚太地区的电脑病毒威胁作出预测。虽然完美无瑕的保护基本上是没有可能发生，但Duckin强调Sophos在功预测和作出抵抗数字上，是贴近100%的。

　　F-Secure DeepGuard 抵御

　　F-Secure公司主要以两大产品来抵御零时差攻击，分别是F-Secure 零时差防病毒（Zero-Hour Anti-Virus）技术，这是透过F-Secure 的加密讯息关闸方案来提供保护，透过对电邮关闸的扫描来防止病毒经电邮传入。

　　另一项技术则是F-Secure DeepGuard，这技术主要应用于F-Secure Internet Security 2007 及F-Secure Client Security 7.0。在DeepGuard 技术下，可以透过了解用户习惯的行为分析及记号分析（Signature）来防止新的病毒及威胁攻击。

　　CA HIPS 安全登入

　　针对零时差保护，CA 所提供的资讯保安方面强调完整性，其中该公司所提供的eTrust 的保安系列软件，集整合威胁管理（Integrated Threat Management）、防毒及防间谍软件于一身。另一种更重要保安方案，就是主系统入侵侦测系统（Host-based Intrusion Prevention System，HIPS）。

　　Tipping Point 强调IPS

　　至于Tipping Point 就以入侵防御系统（Intrusion Prevention Systems，IPS）为零时差保护的非常好的方案。该公司的IPS 拥有四种过滤方式：第一，以记号分析来针对已知的问题作出保护；第二，以Protocol Anomaly 要求各种网络协定必符合RFC 规范；第三，以Vulnerability 即时了解各种漏洞并防御；最后，以Traffic Anomaly 对异常流量的即时侦测与控制。

　　Tipping Point 的DVLabs 实验室是专门分析及发现漏洞的研究组织，可确保用户在面对漏洞及空窗期时，获得全面的保障，就以新近被发现微软视窗在处理一些恶意制造出来的“动态浮标”（Animated Cursor），所引致缓冲满溢漏洞的威胁为例，这漏洞早在两年已被Tipping Point 所发现，并早已向其用户提供了保护。