Quali sono le differenze tecniche di implementazione tra la scansione basata sulle firme e la scansione euristica?

L'euristica, utilizzata in formato AV, antimalware o in rete, opera sulla premessa di "allontanarsi dalla norma". Per evitare un post lungo, leggere " Comprensione dell'euristica ." Ora, per fornire un'analogia non tecnica applicabile alla maggior parte (reti, AV, ecc.): Immagina di essere una guardia di sicurezza in un edificio (AV, appliance di rete, ecc.) E ti viene detto: le macchine rosse sono pericolose. (firma) Sarai attento alle macchine rosse. Questa è una regola statica che ti è stata data. Non saresti utile in molte situazioni. Come guardia di sicurezza euristica, dovresti segnalare un'auto blu che trasportava cinque passeggeri. Ma perché? Perché hai imparato a cercare le anomalie, hai costruito le linee di base.

Le applicazioni e il traffico di rete seguono modelli, ad esempio: "Quando qualcuno visita un sito Web, esegue le funzioni X Y e Z." Questo schema si ripete dove una applicazione lo ritiene normale, qualsiasi deviazione da questa norma è un'anomalia. La tua applicazione si regola: "Se tutto sembra A, e so già che B potrebbe essere cattivo, mi chiedo come possa essere l'intersezione, o variazione, ho bisogno di essere cauto che qualsiasi cosa che sembra meno di una A stellare, possa essere correlata a B e segnalalo. " Ecco come si dice Proventia di IBM e altri lo hanno fatto. "Dopo tanto tempo, A è sempre uguale a A, quando non lo è, torniamo indietro storicamente e vediamo se l'aggiunta (B) soddisfa i criteri per azioni dannose note / sospette."

Ora siamo in grado di segnalare sulla rete: " In condizioni normali, un utente si connette alla porta X e invia la quantità N di dati. Stranamente ora abbiamo un utente che si è connesso 10 volte in meno di un minuto, e ha inviato Z quantità di dati . ALERT "Questo è anche come funzionano i sistemi IDS e perché - quando vengono rilevate anomalie - la maggior parte degli amministratori deve iniziare la messa a punto dei falsi positivi. Sul lato malware / AV dell'equazione, lo stesso vale: "File A.exe non dovrebbe rinominare se stesso, nascondere il suo processo, e sparare più connessioni, non abbiamo mai visto un'applicazione fare così, quindi siamo sospettosi di esso ". AV / Antimalware confronterà le sue note conosciute (firme) contro il comportamento corrente e contro le linee di base. "

Lo scanner euristico (per un file) può guardare / fare per varie cose, tra cui:

• sandboxing dell'applicazione e analisi del comportamento (quali file sono creati / cancellati / modificati, ...)
• ricerca di hook per le funzioni (scrittura diretta del disco, binding socket TCP, ...)
• stringhe come nomi di file (lettura / scrittura di file di sistema, ...)
• capacità di residenza memoria
• decodifica del programma all'avvio
• analisi del codice macchina decompilata

Il rilevamento di uno o più di questi elementi può puntare a una possibile minaccia. Un programma che è residente e modifica il file hosts , è molto probabilmente mal progettato.

Per quanto riguarda l'analisi basata sulla rete, non ne ho molta familiarità. Ma direi che se c'è una macchina dedicata a questo, sarebbe possibile eseguire l'analisi dei file catturati e / o dei file segnalati.

(possibile interesse per Rethinking Antivirus: analisi eseguibile nel cloud di rete )