行为检测
行为检测 是什么?
行为检测通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。
行为检测关注代码在系统中的实际行为:进程树、父子关系、API 调用、文件与注册表写入、网络目的地、命令行参数、计划任务创建,匹配已知攻击手法的序列就会触发告警。检测规则常以 Sigma 或厂商语言表达,并对应 MITRE ATT&CK 中的技术,如 T1059(命令与脚本解释器)或 T1547(启动或登录自启)。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint、Cybereason、Elastic 等 NGAV/EDR 引擎以实时方式实现行为检测。相比签名,行为检测能识别多态、加壳与无文件恶意软件,但需要丰富的遥测(Sysmon、EDR 事件流、审计日志)并精心调优,才能控制误报。
● 示例
- 01
EDR 规则:Word 启动 PowerShell 并从外部 IP 下载,典型的宏入侵模式即报警。
- 02
Defender for Endpoint 通过非系统进程读取 LSASS 内存来检测凭据转储。
● 常见问题
行为检测 是什么?
通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。 它属于网络安全的 防御与运营 分类。
行为检测 是什么意思?
通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。
行为检测 是如何工作的?
行为检测关注代码在系统中的实际行为:进程树、父子关系、API 调用、文件与注册表写入、网络目的地、命令行参数、计划任务创建,匹配已知攻击手法的序列就会触发告警。检测规则常以 Sigma 或厂商语言表达,并对应 MITRE ATT&CK 中的技术,如 T1059(命令与脚本解释器)或 T1547(启动或登录自启)。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint、Cybereason、Elastic 等 NGAV/EDR 引擎以实时方式实现行为检测。相比签名,行为检测能识别多态、加壳与无文件恶意软件,但需要丰富的遥测(Sysmon、EDR 事件流、审计日志)并精心调优,才能控制误报。
如何防御 行为检测?
针对 行为检测 的防御通常结合技术控制与运营实践,详见上方完整定义。
行为检测 还有哪些其他名称?
常见的别称包括: 基于行为的检测, 行为分析。
● 相关术语
- defense-ops№ 473
启发式检测
通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。
- network-security№ 048
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
- defense-ops№ 725
新一代杀毒软件 (NGAV)
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
● 参见
- № 416文件完整性监控 (FIM)