基于行为和签名的安全技术

　　对于那些没有被归类为“好”或“坏”的程序或者文件，则可以采用行为安全技术，该技术是发现新威胁(在发生攻击前)的有效但不完美的方法。从最简单的级别来判断，这是行为安全技术的基础。

　　执法人员会使用很多不同的技术来进行行为鉴定，他们会观察对象的身体语言、面部表情、言词和行为来判断这个人的意图是恶意的还是良性的。眼睛运转、声音音调和其他生理因素都可以反应压力，反过来能够表明一个人是否在试图隐藏什么东西。同样的道理，基于行为的安全算法能够找出那些不是合法程序但试图隐藏自身的恶意软件。

　　基于签名的安全过滤器将具体的行为和代码序列与已知的签名数据库进行比较，或与预先确定的恶意软件的字符串代码进行比较。相比较而言，基于异常行为的安全技术不是那么具体化，它会找出不合常理的代码的行为或命令，正如执法人员所说的“合理的怀疑”。

　　启发式算法常常被用来鉴定异常行为，通过分析过去的网络流量和电子邮件等并将其与目前模式进行比较，或者通过分析代码本身的结构。启发式引擎通常是以规则为基础的，它能够“学习”以往的经验，并建立相应的新规则。大多数防病毒程序都是在签名更新可用之前，使用启发式算法来识别恶意软件威胁及其变种。

　　前美国联邦调查局犯罪学家John Douglas是行为特征技术方面资深专家，他表示，行为特征研究是形式调查中很有效的手段，事实上这种技术应该是在其他传统调查方法使用后才运用。换句话说，仅靠特征技术不足以作为犯罪行为的指标，也就是说，仅靠行为安全技术是不能够充分地保护你地网络和电脑地。它可能会允许一些已知恶意软件通过，因为这些恶意软件看起来像合法代码，更严重的问题是，它可能将某些形迹可疑的合法程序标记为恶意软件，行为安全技术的误报率是非常高的。