网络安全
基于特征的检测
别称: 模式匹配检测
定义
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
基于特征(签名)的检测通过将观察到的工件——数据包中的字节序列、文件哈希、URL 上的正则、YARA 规则、Snort/Suricata 规则——与精心维护的已知指标数据库进行匹配,以识别威胁。对已知威胁准确率高、误报少,因此是杀毒软件、IDS/IPS、WAF 和邮件网关的核心引擎。主要弱点是无法检测尚未出现的恶意软件、多态变体或全新 TTP,只有在编写并分发新签名后才能识别,期间存在暴露窗口。现代防御栈通常将特征引擎与异常检测、机器学习模型以及威胁情报源相结合,以缩小这一差距。
示例
- ClamAV 使用 SHA-256 与恶意软件库比对识别文件。
- Suricata 在 HTTP 主体中匹配到已知 Web Shell 的正则签名时触发告警。
相关术语
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
Malware Analysis
Malware Analysis — definition coming soon.
EPP(端点保护平台)
结合杀毒、反恶意软件、主机防火墙与漏洞利用防护的预防型端点安全套件,用于在威胁执行前进行阻断。