Эвристическое детектирование
Что такое Эвристическое детектирование?
Эвристическое детектированиеМетод обнаружения, использующий эмпирические признаки — подозрительные паттерны кода, упаковщики, аномальные строки, комбинации API — чтобы выявлять вероятно вредоносные файлы без точной сигнатуры.
Эвристическое детектирование дополняет сигнатуры, выставляя баллы подозрительным характеристикам файла или его исполнения. Статические эвристики анализируют аномалии заголовка PE, наличие известных упаковщиков (UPX, Themida), высокую энтропию, обфускацию, опасные импорты вроде VirtualAlloc + WriteProcessMemory + CreateRemoteThread и подозрительные строки; динамические наблюдают поведение в эмуляторе или мини-песочнице. Термин закрепился в начале 1990-х благодаря TbScan Франса Велдмана и AVP Евгения Касперского; сегодня эвристики живут в большинстве NGAV/EDR как быстрый пред-фильтр перед более глубоким ML или облачным lookup. Эвристика ловит неизвестные варианты известных семейств, но даёт больше ложных срабатываний, чем сигнатуры, поэтому вендоры комбинируют её с репутацией, распространённостью и поведенческими признаками.
● Примеры
- 01
AV-движок помечает UPX-упакованный бинарник, импортирующий сетевые API и динамически разрешающий WinAPI.
- 02
TbScan в 1993 году обнаруживает неизвестный вирус по классическим циклам расшифровки и шаблонам записи на диск.
● Частые вопросы
Что такое Эвристическое детектирование?
Метод обнаружения, использующий эмпирические признаки — подозрительные паттерны кода, упаковщики, аномальные строки, комбинации API — чтобы выявлять вероятно вредоносные файлы без точной сигнатуры. Относится к категории Защита и операции в кибербезопасности.
Что означает Эвристическое детектирование?
Метод обнаружения, использующий эмпирические признаки — подозрительные паттерны кода, упаковщики, аномальные строки, комбинации API — чтобы выявлять вероятно вредоносные файлы без точной сигнатуры.
Как работает Эвристическое детектирование?
Эвристическое детектирование дополняет сигнатуры, выставляя баллы подозрительным характеристикам файла или его исполнения. Статические эвристики анализируют аномалии заголовка PE, наличие известных упаковщиков (UPX, Themida), высокую энтропию, обфускацию, опасные импорты вроде VirtualAlloc + WriteProcessMemory + CreateRemoteThread и подозрительные строки; динамические наблюдают поведение в эмуляторе или мини-песочнице. Термин закрепился в начале 1990-х благодаря TbScan Франса Велдмана и AVP Евгения Касперского; сегодня эвристики живут в большинстве NGAV/EDR как быстрый пред-фильтр перед более глубоким ML или облачным lookup. Эвристика ловит неизвестные варианты известных семейств, но даёт больше ложных срабатываний, чем сигнатуры, поэтому вендоры комбинируют её с репутацией, распространённостью и поведенческими признаками.
Как защититься от Эвристическое детектирование?
Защита от Эвристическое детектирование обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Эвристическое детектирование?
Распространённые альтернативные названия: Эвристика, Эвристическое сканирование.
● Связанные термины
- defense-ops№ 091
Поведенческое детектирование
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
- network-security№ 1043
Сигнатурное обнаружение
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
- defense-ops№ 725
Антивирус нового поколения (NGAV)
Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
- defense-ops№ 050
Антивирус (AV)
ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
- malware№ 840
Полиморфная малварь
Вредоносное ПО, при каждом заражении меняющее внешний вид на диске (обычно через перешифрование или упаковку), но сохраняющее логику.
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.