Signaturbasierte Erkennung

Auch bekannt als: Mustererkennung

Eine Erkennungsmethode, die beobachteten Verkehr, Dateien oder Verhalten mit einer Datenbank bekannter bösartiger Muster (Signaturen) abgleicht, um bösartige Aktivität zu kennzeichnen.

Signaturbasierte Erkennung identifiziert Bedrohungen, indem sie beobachtete Artefakte — Byte-Sequenzen in Paketen, Datei-Hashes, Regex auf URLs, YARA-Regeln, Snort/Suricata-Regeln — gegen eine kuratierte Datenbank bekannter Indikatoren abgleicht. Sie ist für bekannte Bedrohungen sehr präzise und produziert wenige Falschalarme; daher ist sie das Rückgrat von Antivirus, IDS/IPS, WAFs und Mail-Gateways. Ihre Schwäche: Sie erkennt keine unbekannten Schädlinge, polymorphen Varianten oder neuen TTPs, bis eine Signatur geschrieben und verteilt wurde, was ein Expositionsfenster hinterlässt. Moderne Stacks kombinieren Signatur-Engines mit Anomalieerkennung, ML-Modellen und Threat-Intel-Feeds, um diese Lücke zu schließen.

Beispiele

ClamAV erkennt eine Datei anhand ihres SHA-256 in seiner Malware-Datenbank.
Suricata schlägt an, wenn ein Regex im HTTP-Body zur Signatur einer bekannten Web Shell passt.

Signaturbasierte Erkennung

Beispiele

Verwandte Begriffe

Anomaliebasierte Erkennung

Intrusion Detection System (IDS)

Intrusion Prevention System (IPS)

Deep Packet Inspection (DPI)

Malware Analysis

EPP (Endpoint Protection Platform)

Definition

Beispiele

Verwandte Begriffe

Anomaliebasierte Erkennung

Intrusion Detection System (IDS)

Intrusion Prevention System (IPS)

Deep Packet Inspection (DPI)

Malware Analysis

EPP (Endpoint Protection Platform)