Сигнатурное обнаружение
Что такое Сигнатурное обнаружение?
Сигнатурное обнаружениеМетод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
Сигнатурное обнаружение распознаёт угрозы, сравнивая наблюдаемые артефакты — байтовые последовательности в пакетах, хэши файлов, регулярные выражения над URL, правила YARA, правила Snort/Suricata — с поддерживаемой базой известных индикаторов. Метод очень точен на известных угрозах и даёт мало ложных срабатываний, поэтому является основой антивирусов, IDS/IPS, WAF и почтовых шлюзов. Главная слабость — невозможность обнаружить ранее неизвестное вредоносное ПО, полиморфные варианты и новые TTP, пока не будет создана и распространена новая сигнатура, что оставляет окно уязвимости. Современные стеки сочетают сигнатурные движки с обнаружением аномалий, ML-моделями и threat intelligence, чтобы сократить этот разрыв.
● Примеры
- 01
ClamAV определяет файл по SHA-256 в собственной базе вредоносного ПО.
- 02
Suricata срабатывает, когда регулярное выражение в HTTP-теле совпадает с сигнатурой известного веб-шелла.
● Частые вопросы
Что такое Сигнатурное обнаружение?
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Сигнатурное обнаружение?
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
Как защититься от Сигнатурное обнаружение?
Защита от Сигнатурное обнаружение обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Сигнатурное обнаружение?
Распространённые альтернативные названия: Шаблонное обнаружение.