模式3涉及到的供应商及产品有：AhlLab、FireEye、Lastline、ThreatGrid、 Check Point的威胁仿真软件刀片、迈克菲的ValidEdge、Palo Alto的Wildfire服务和趋势科技的Deep Discovery。

模式4——终端行为分析，在应用程序容器中，通过把虚拟容器中的应用程序和文件进行分离，来保护端点安全。该模式的其他创新点包括为阻止攻击而进行系统配置、内存和进程监控，另外还有实时响应技术。Gartner说，模式4需要在每个端点上安装一个代理，它可以拦截内核系统调用并阻止恶意活动，比如线程注入式攻击;另外，该模式能通过隔离的Web浏览，保护用户免遭任意软件的攻击，包括路过式下载和“水坑”下载。

这种模式的主要优点是能够阻止“零日攻击”，提供一些基础证据，检查系统是否打开或关闭网络。但是它面临的挑战是部署和管理代理软件在操作上是很密集的，在BYOD环境中尤其困难。该模式的供应商包括Blue Ridge Networks、Bromium、 Invincea、Sandoxie和 Trustware，支持内存监控的供应商有Cyvera、ManTech、HBGary和 RSA的 Ecat。

模式5——最后一个模式是端点取证，涉及到了事件响应工具。端点代理商从他们监控的主机中收集数据，帮助事件自动响应，监控公司网络的主机打开或关闭。但是它们的缺点也是部署和管理时操作比较密集，对非Windows端点的支持是非常有限的。该模式涉及到的供应商及产品有Bit9、Carbon Black、Mandiant、 ManTech、HBGary的 Responder Pro 和Guidance Software的EnCase Analytics,

Gartner建议在细分出的这五种高级威胁防御模式中，选择至少两个模式一起使用，比如使用模式3进行有效负载分析以及用模式5进行端点取证。

“一些有效负载分析供应商会和终端取证供应商合作，把他们的解决方案进行整合，来减少事件的响应时间。虽然网络流量分析(模式1)和终端取证(模式5)的优点有些相似，但很少有供应商会把这两种模式放在一起使用。”Gartner的分析师Lawrence Orans说在决策过程中，供应商合作也是一个影响因素。另外，一些模式仍然是以Windows系统为核心的，网络分析除外。

Gartner的报告还包括了很多其他的模式，并指出一些供应商，尤其是比较大型的已经开始交付集成两个或多个模式的产品。然而，选择一个模式的企业可能会带来一些负面影响，Gartne补充道：“那些专注于一种模式的专业厂商提供的产品，其功能将不会很全面。”

面对先进持久威胁对企业数据的窃取行径，可以使用这五种模式来进行对抗，但这并不意味着要放弃如反病毒这样的传统安全技术。这五种模式是专门针对那些主动参与到对抗入侵者的企业安全管理者而提出来的。

(责任编辑：)