Un antivirus tradizionale esegue la scansione dei dati a riposo e dei dati in transito per le firme dei virus noti. (Dove "virus" include trojan, rootkit, ecc.)
Questo non aiuta quando ci si difende da giorni zero e intrusioni attive. Per definizione non hanno una firma conosciuta. Come si chiama un antivirus che risponde invece a attività sospette (piuttosto che a firme conosciute )?
La tecnica tradizionale descritta suona come un sistema di rilevamento delle intrusioni basato su firma e host. (IDS è un termine generico che include software antivirus.)
Alcuni sistemi rilevano modelli noti di cattivo comportamento, oltre a noti dati errati. Queste definizioni di pattern non sono dinamiche, quindi potresti ancora considerarle come "firme". Negli antivirus consumer questa funzionalità è talvolta inclusa sotto il termine generico "protezione in tempo reale" .
Un'implementazione dinamica (senza firma) si chiamerebbe un IDS basato sull'anomalia . Ciò si basa sull'apprendimento automatico per generare euristiche utilizzate per rilevare comportamenti sospetti.
Gli scanner antivirus che cercano attività sospette sono spesso indicati come utilizzando l'analisi euristica. Può eseguire un'applicazione in una sorta di sandbox (una macchina virtuale speciale) per analizzare il comportamento del programma. Cercherà attività virus comuni come la replica e i tentativi di nascondersi.
Man mano che vengono scoperti nuovi virus, i produttori di antivirus possono aggiungere comportamenti di virus al motore delle regole, in modo da scoprire anche le varianti future.
Leggi altre domande sui tag machine-learning terminology antivirus anomaly-detection ids