ヒューリスティック検知.

怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。 サイバーセキュリティの 防御と運用 カテゴリに属します。

怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。

ヒューリスティック検知はシグネチャを補完し、ファイル本体や実行の疑わしさをスコアリングします。静的ヒューリスティックは、PE ヘッダの異常、UPX や Themida などの既知パッカー、エントロピーの高さ、コードの難読化、VirtualAlloc + WriteProcessMemory + CreateRemoteThread などの怪しい import、リスクの高い文字列を確認します。動的ヒューリスティックはエミュレータや軽量サンドボックスで挙動を観察します。1990 年代初頭に Frans Veldman 氏の TbScan や Eugene Kaspersky 氏の AVP が用語を広め、現在では多くの NGAV/EDR エンジンが、より深い ML やクラウド照会の前段の高速プリフィルタとして実装しています。既知ファミリの未知亜種を捕捉できる一方、シグネチャより誤検知が多いため、レピュテーション、流通度、振る舞いなどと組み合わせて判定します。

ヒューリスティック検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: ヒューリスティック, ヒューリスティックスキャン。