Система предотвращения заражения системы программами-шпионами работает на основе мониторинга сетевого трафика и действий в системе для выявления и блокирования вредоносной активности. 3

Некоторые методы работы таких систем:

• Сканирование в реальном времени. 2 Предотвращает заражение путём проверки входящего контента на сетевом шлюзе или внутреннем сетевом компьютере. 2
• Пассивное сканирование. 2 Проверяет объекты, уже имеющиеся в системе. 2 Сканирование выполняется по расписанию или запускается вручную. 2
• Анализ поведения. 2 Превентивный метод, который применяется в реальном времени при фильтрации контента. 2 Например, анализируя сценарии, можно определить их способность проникать в известные уязвимые места или выполнять подозрительные операции. 2

Для выявления угроз такие системы используют различные методы, например сигнатурный анализ, корреляцию событий и машинное обучение. 3

При выявлении атаки система может блокировать подозрительные соединения, динамически изменять правила безопасности, использовать обманные технологии для отвлечения атакующих и генерировать оповещения с различными уровнями приоритета. 3