方法

工作原理

优点

缺点

持久性代理

软件代理安装后，执行评估。代理可能是更大程序包（如桌面防火墙）的一部分，也可能是类似思科可信代理的代理者。

只要在计算机上安装一次。一旦软件安装完毕，用户根本不必再理会它。提供了深度检测主机的功能。

不是所有系统、尤其是访客系统都能安装代理。代理需要合理的权限才能评估主机。代理必须支持你的所有操作系统和应用程序。

一次性代理

类似持久性代理，一次性代理用Java或者ActiveX等移动语言来编写，下载后即可执行。评估一般由代理来执行，而不是卸载到其他源处。

可安装到任何主机上，移动代码更可能在多种操作系统上得到支持。这种代理通常很简短，大小不到1MB，所以可以在慢速连接上传送。

不是所有系统都支持移动代码。用户需要合适的许可权才可运行代码；在Windows中，这往往是需要本地管理员或者高级用户。

远程过程调用（RPC）

网络上的服务器使用目标计算机上的RPC或者WMI来进行扫描。除了可以访问主机外，服务器还需要主机的管理员证书才能进行扫描。

不需要安装代理，却仍有望比较深入地分析主机。

不是所有用户都有本地管理员访问权，而最小用户权限概念会进一步限制这种访问权。访客很难得到支持。检查也不如代理方案来得全面。

漏洞扫描

服务器对主机执行漏洞评估扫描。反病毒软件扫描试图识别操作系统、运行中的服务以及任何漏洞。

不需要安装代理；而且常常不需要证书，从而使得扫描很简单。提供了主机上攻击点的详细信息。

如果没有管理员证书，有关主机的信息很有限。扫描要用很长时间，还有可能导致服务崩溃。主机防火墙会干扰扫描功能。误报或者漏报是潜在问题。

被动监控

不是评估主机的条件，而是监控主机从而查找不良行为，比如扫描或者蠕虫感染。可以执行入侵检测，并监控验证请求和响应。

可检测恶意行为，不管主机的条件如何。被动监控可能使用基于特征或者异常的检测。提供了实时检测不符合策略的活动的功能。

有关主机状态的惟一数据就是传回到网络上的数据。操作系统和服务检测可能不准确。需要了解网络流量，而这很难实现。