ヒューリスティック検知
ヒューリスティック検知 とは何ですか?
ヒューリスティック検知怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。
ヒューリスティック検知はシグネチャを補完し、ファイル本体や実行の疑わしさをスコアリングします。静的ヒューリスティックは、PE ヘッダの異常、UPX や Themida などの既知パッカー、エントロピーの高さ、コードの難読化、VirtualAlloc + WriteProcessMemory + CreateRemoteThread などの怪しい import、リスクの高い文字列を確認します。動的ヒューリスティックはエミュレータや軽量サンドボックスで挙動を観察します。1990 年代初頭に Frans Veldman 氏の TbScan や Eugene Kaspersky 氏の AVP が用語を広め、現在では多くの NGAV/EDR エンジンが、より深い ML やクラウド照会の前段の高速プリフィルタとして実装しています。既知ファミリの未知亜種を捕捉できる一方、シグネチャより誤検知が多いため、レピュテーション、流通度、振る舞いなどと組み合わせて判定します。
● 例
- 01
ネットワーク API を import し WinAPI を動的解決する UPX 圧縮バイナリを AV エンジンがフラグする例。
- 02
1993 年の TbScan が、典型的な復号ループとディスク書き込みパターンから未知ウイルスを検知。
● よくある質問
ヒューリスティック検知 とは何ですか?
怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ヒューリスティック検知 とはどういう意味ですか?
怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。
ヒューリスティック検知 からどのように防御しますか?
ヒューリスティック検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ヒューリスティック検知 の別名は何ですか?
一般的な別名: ヒューリスティック, ヒューリスティックスキャン。