Detection heuristique
Qu'est-ce que Detection heuristique ?
Detection heuristiqueMethode de detection utilisant des indicateurs heuristiques — motifs de code suspects, packers, chaines anormales, combinaisons d'API — pour reperer des fichiers probablement malveillants sans signature exacte.
La detection heuristique complete les signatures en notant les caracteristiques suspectes d'un fichier ou de son execution. Les heuristiques statiques regardent les anomalies d'entete PE, la presence de packers connus (UPX, Themida), une entropie elevee, l'obfuscation, des imports a risque comme VirtualAlloc + WriteProcessMemory + CreateRemoteThread et des chaines suspectes ; les dynamiques observent le comportement dans un emulateur ou un mini-sandbox. Le terme a ete popularise au debut des annees 1990 par TbScan de Frans Veldman et AVP d'Eugene Kaspersky ; il vit aujourd'hui dans les moteurs NGAV/EDR comme pre-filtre rapide avant des ML plus profonds ou une recherche cloud. Les heuristiques attrapent des variantes inconnues mais produisent plus de faux positifs que les signatures ; les editeurs combinent donc le score avec reputation, prevalence et signaux comportementaux.
● Exemples
- 01
Un moteur AV signale un binaire compresse avec UPX qui importe des API reseau et resout dynamiquement les fonctions WinAPI.
- 02
TbScan en 1993 detecte un virus inconnu en reconnaissant des boucles de chiffrement classiques et des ecritures disque suspectes.
● Questions fréquentes
Qu'est-ce que Detection heuristique ?
Methode de detection utilisant des indicateurs heuristiques — motifs de code suspects, packers, chaines anormales, combinaisons d'API — pour reperer des fichiers probablement malveillants sans signature exacte. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Detection heuristique ?
Methode de detection utilisant des indicateurs heuristiques — motifs de code suspects, packers, chaines anormales, combinaisons d'API — pour reperer des fichiers probablement malveillants sans signature exacte.
Comment fonctionne Detection heuristique ?
La detection heuristique complete les signatures en notant les caracteristiques suspectes d'un fichier ou de son execution. Les heuristiques statiques regardent les anomalies d'entete PE, la presence de packers connus (UPX, Themida), une entropie elevee, l'obfuscation, des imports a risque comme VirtualAlloc + WriteProcessMemory + CreateRemoteThread et des chaines suspectes ; les dynamiques observent le comportement dans un emulateur ou un mini-sandbox. Le terme a ete popularise au debut des annees 1990 par TbScan de Frans Veldman et AVP d'Eugene Kaspersky ; il vit aujourd'hui dans les moteurs NGAV/EDR comme pre-filtre rapide avant des ML plus profonds ou une recherche cloud. Les heuristiques attrapent des variantes inconnues mais produisent plus de faux positifs que les signatures ; les editeurs combinent donc le score avec reputation, prevalence et signaux comportementaux.
Comment se défendre contre Detection heuristique ?
Les défenses contre Detection heuristique combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Detection heuristique ?
Noms alternatifs courants : Heuristique, Scan heuristique.
● Termes liés
- defense-ops№ 091
Detection comportementale
Approche de detection qui identifie l'activite malveillante a partir du comportement a l'execution des processus, utilisateurs et flux reseau, plutot que par des signatures statiques.
- network-security№ 1043
Détection par signatures
Méthode de détection qui compare le trafic, les fichiers ou les comportements observés à une base de motifs malveillants connus (signatures) pour repérer une activité malveillante.
- defense-ops№ 725
Antivirus de nouvelle generation (NGAV)
Protection endpoint qui complete la detection par signatures avec des modeles ML, de l'analyse comportementale et de la prevention d'exploits pour stopper les menaces inconnues et fileless.
- defense-ops№ 050
Antivirus (AV)
Logiciel d'endpoint qui detecte et supprime les fichiers malveillants au moyen de bases de signatures, d'analyses fichier et d'heuristiques basiques ; base historique de la securite endpoint.
- malware№ 840
Malware polymorphe
Logiciel malveillant qui modifie son apparence sur disque — généralement par re-chiffrement ou empaquetage — à chaque infection, tout en gardant sa logique intacte.
- forensics-ir№ 650
Analyse de maliciel
Étude structurée d'un échantillon malveillant pour comprendre son fonctionnement, son origine, ses indicateurs de compromission et son impact sur les systèmes touchés.