Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 109

行为检测

审核人Cybersecurity entrepreneur & security researcher

行为检测 是什么?

行为检测通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。


行为检测关注代码在系统中的实际行为:进程树、父子关系、API 调用、文件与注册表写入、网络目的地、命令行参数、计划任务创建,匹配已知攻击手法的序列就会触发告警。检测规则常以 Sigma 或厂商语言表达,并对应 MITRE ATT&CK 中的技术,如 T1059(命令与脚本解释器)或 T1547(启动或登录自启)。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint、Cybereason、Elastic 等 NGAV/EDR 引擎以实时方式实现行为检测。相比签名,行为检测能识别多态、加壳与无文件恶意软件,但需要丰富的遥测(Sysmon、EDR 事件流、审计日志)并精心调优,才能控制误报。

示例

  1. 01

    EDR 规则:Word 启动 PowerShell 并从外部 IP 下载,典型的宏入侵模式即报警。

  2. 02

    Defender for Endpoint 通过非系统进程读取 LSASS 内存来检测凭据转储。

常见问题

行为检测 是什么?

通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。 它属于网络安全的 防御与运营 分类。

行为检测 是什么意思?

通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。

如何防御 行为检测?

针对 行为检测 的防御通常结合技术控制与运营实践,详见上方完整定义。

行为检测 还有哪些其他名称?

常见的别称包括: 基于行为的检测, 行为分析。

相关术语

另见