Heuristische Erkennung
Was ist Heuristische Erkennung?
Heuristische ErkennungErkennungsmethode mit Daumenregeln — verdaechtige Codemuster, Packer, ungewoehnliche Strings, API-Kombinationen — zur Markierung wahrscheinlich schaedlicher Dateien ohne exakte Signatur.
Heuristische Erkennung erganzt Signaturen, indem sie verdaechtige Merkmale einer Datei oder ihrer Ausfuhrung bepunktet. Statische Heuristiken pruefen PE-Header-Anomalien, bekannte Packer (UPX, Themida), hohe Entropie, Code-Obfuskation, riskante Imports (VirtualAlloc + WriteProcessMemory + CreateRemoteThread) und verdaechtige Strings; dynamische beobachten Verhalten in Emulator oder Mini-Sandbox. Der Begriff wurde Anfang der 1990er durch Tools wie Frans Veldmans TbScan und Eugene Kasperskys AVP popularisiert; heute leben Heuristiken als schneller Vorfilter in NGAV/EDR-Engines, bevor tiefere ML oder Cloud-Abfragen anlaufen. Sie erkennen unbekannte Varianten bekannter Familien, erzeugen aber mehr Fehlalarme als Signaturen, weshalb Hersteller Schwellen tunen und mit Reputation, Verbreitung und Verhaltenssignalen kombinieren.
● Beispiele
- 01
AV-Engine markiert ein UPX-gepacktes Binary, das Netzwerk-APIs importiert und WinAPI dynamisch aufloest.
- 02
TbScan erkennt 1993 ein bislang unbekanntes Virus an typischen Entschluesselungsschleifen und Disk-Write-Mustern.
● Häufige Fragen
Was ist Heuristische Erkennung?
Erkennungsmethode mit Daumenregeln — verdaechtige Codemuster, Packer, ungewoehnliche Strings, API-Kombinationen — zur Markierung wahrscheinlich schaedlicher Dateien ohne exakte Signatur. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Heuristische Erkennung?
Erkennungsmethode mit Daumenregeln — verdaechtige Codemuster, Packer, ungewoehnliche Strings, API-Kombinationen — zur Markierung wahrscheinlich schaedlicher Dateien ohne exakte Signatur.
Wie funktioniert Heuristische Erkennung?
Heuristische Erkennung erganzt Signaturen, indem sie verdaechtige Merkmale einer Datei oder ihrer Ausfuhrung bepunktet. Statische Heuristiken pruefen PE-Header-Anomalien, bekannte Packer (UPX, Themida), hohe Entropie, Code-Obfuskation, riskante Imports (VirtualAlloc + WriteProcessMemory + CreateRemoteThread) und verdaechtige Strings; dynamische beobachten Verhalten in Emulator oder Mini-Sandbox. Der Begriff wurde Anfang der 1990er durch Tools wie Frans Veldmans TbScan und Eugene Kasperskys AVP popularisiert; heute leben Heuristiken als schneller Vorfilter in NGAV/EDR-Engines, bevor tiefere ML oder Cloud-Abfragen anlaufen. Sie erkennen unbekannte Varianten bekannter Familien, erzeugen aber mehr Fehlalarme als Signaturen, weshalb Hersteller Schwellen tunen und mit Reputation, Verbreitung und Verhaltenssignalen kombinieren.
Wie schützt man sich gegen Heuristische Erkennung?
Schutzmaßnahmen gegen Heuristische Erkennung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Heuristische Erkennung?
Übliche alternative Bezeichnungen: Heuristik, Heuristisches Scannen.
● Verwandte Begriffe
- defense-ops№ 091
Verhaltenserkennung
Erkennungsansatz, der schaedliches Verhalten an der Laufzeit von Prozessen, Nutzern und Netzflussen identifiziert, statt sich auf statische Dateisignaturen zu stutzen.
- network-security№ 1043
Signaturbasierte Erkennung
Eine Erkennungsmethode, die beobachteten Verkehr, Dateien oder Verhalten mit einer Datenbank bekannter bösartiger Muster (Signaturen) abgleicht, um bösartige Aktivität zu kennzeichnen.
- defense-ops№ 725
Next-Generation Antivirus (NGAV)
Endpoint-Schutz, der Signaturen um ML-Modelle, Verhaltensanalyse und Exploit-Mitigation erganzt, um unbekannte und Fileless-Bedrohungen zu stoppen.
- defense-ops№ 050
Antivirus (AV)
Endpoint-Software, die schaedliche Dateien mit Signaturdatenbanken, Datei-Scans und einfachen Heuristiken erkennt und entfernt — die historische Basis der Endpointsicherheit.
- malware№ 840
Polymorphe Malware
Schadsoftware, die ihr Aussehen auf der Festplatte bei jeder Infektion verändert — meist durch erneute Verschlüsselung oder Packen — bei gleichbleibender Kernlogik.
- forensics-ir№ 650
Malware-Analyse
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.