启发式检测
启发式检测 是什么?
启发式检测通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。
启发式检测在签名之外为文件或其执行行为打分。静态启发式分析 PE 头异常、是否存在已知壳(UPX、Themida)、高熵、代码混淆、可疑导入(如 VirtualAlloc + WriteProcessMemory + CreateRemoteThread)以及风险字符串;动态启发式则在模拟器或轻量沙箱中观察行为。"启发式"一词在 1990 年代初由 Frans Veldman 的 TbScan、Eugene Kaspersky 的 AVP 等工具推广,如今多数 NGAV/EDR 引擎将其作为送入更深的 ML 或云查询之前的快速预过滤。启发式能识别已知家族的未知变体,但误报多于签名,因此厂商会结合信誉、流行度和行为信号进行综合判定。
● 示例
- 01
AV 引擎对一个 UPX 加壳、导入网络 API 并动态解析 WinAPI 的二进制发出告警。
- 02
1993 年的 TbScan 通过识别经典加密循环与磁盘写入模式发现一种全新的病毒。
● 常见问题
启发式检测 是什么?
通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。 它属于网络安全的 防御与运营 分类。
启发式检测 是什么意思?
通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。
启发式检测 是如何工作的?
启发式检测在签名之外为文件或其执行行为打分。静态启发式分析 PE 头异常、是否存在已知壳(UPX、Themida)、高熵、代码混淆、可疑导入(如 VirtualAlloc + WriteProcessMemory + CreateRemoteThread)以及风险字符串;动态启发式则在模拟器或轻量沙箱中观察行为。"启发式"一词在 1990 年代初由 Frans Veldman 的 TbScan、Eugene Kaspersky 的 AVP 等工具推广,如今多数 NGAV/EDR 引擎将其作为送入更深的 ML 或云查询之前的快速预过滤。启发式能识别已知家族的未知变体,但误报多于签名,因此厂商会结合信誉、流行度和行为信号进行综合判定。
如何防御 启发式检测?
针对 启发式检测 的防御通常结合技术控制与运营实践,详见上方完整定义。
启发式检测 还有哪些其他名称?
常见的别称包括: 启发式, 启发式扫描。
● 相关术语
- defense-ops№ 091
行为检测
通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。
- network-security№ 1043
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
- defense-ops№ 725
新一代杀毒软件 (NGAV)
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
- defense-ops№ 050
杀毒软件 (AV)
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
- malware№ 840
多态恶意软件
在每次感染时通过重新加密或加壳等手段改变磁盘上外观,但核心逻辑保持不变的恶意软件。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。