¿Cuáles son las diferencias de implementación técnica entre el escaneo basado en firmas y el escaneo heurístico?

1

El escaneo basado en firmas funciona comparando algo con una base de datos. Entonces, ¿esto básicamente equivale a escanear un archivo x para la cadena foobar ?

Sé que el escaneo basado en heurísticas puede detectar nuevas amenazas que aún no están en una base de datos. ¿Como hace esto? ¿Utiliza expresiones regulares, por ejemplo, explora archivos para foo*bar donde * es un operador de expresiones regulares?

También he escuchado que el escaneo basado en heurísticas analiza el comportamiento de un archivo, pero esto suena como algo completamente diferente, como la emulación o el sandboxing.

También, ¿cómo se aplican las heurísticas a IDS y Firewalls que conservan el tráfico de red?

    
pregunta Celeritas 13.04.2016 - 11:19
fuente

2 respuestas

1

Las heurísticas, ya sean utilizadas en AV, antimalware o en una red, funcionan bajo la premisa de "alejarse de la norma". Para evitar una publicación prolongada, lea " Understanding Heuristics ". Ahora para dar una analogía no técnica que es aplicable a la mayoría (redes, AV, etc.): Imagina que eres un guardia de seguridad en un edificio (AV, dispositivo de red, etc.) y te dicen: los autos rojos son peligrosos. (firma) Estarás vigilando los coches rojos. Esta es una regla estática que te dieron. No sería útil en muchas situaciones. Como guardia de seguridad heurístico, marcarías un auto azul que llevaba cinco pasajeros. ¿Pero por qué? Como aprendió a buscar anomalías, construyó líneas de base.

Las aplicaciones y el tráfico de red siguen patrones, por ejemplo: "Cuando alguien visita un sitio web, realiza las funciones XY y Z". Este patrón se repite donde una aplicación lo considera normal, cualquier desviación de esta norma es una anomalía. Su aplicación se ajusta: "Si todo se ve como A, y ya sé que B puede ser malo, me pregunto cómo se verá la intersección o la variación, debo tener cuidado de que cualquier cosa que se vea menos que una A estelar, pueda estar relacionada. a B, y marcarlo ". Así es como dicen Proventia de IBM y otros hicieron esto. "Después de tanto tiempo, A siempre es igual a A, cuando no lo es, retrocedamos históricamente y veamos si la adición (B) cumple con los criterios para acciones maliciosas conocidas / sospechosas".

Ahora podemos marcar en la red: " En condiciones normales, un usuario se conecta al puerto X y envía N cantidad de datos. Curiosamente, ahora tenemos un usuario que se ha conectado 10 veces en menos de un minuto. y ha enviado Z cantidad de datos . ALERTA "Esto también es cómo funcionan los sistemas IDS , y por qué, cuando se detectan anomalías, la mayoría de los administradores tienen que comenzar a ajustar los falsos positivos. En el lado de malware / AV de la ecuación, se aplica lo mismo: "El archivo A.exe no debe renombrarse a sí mismo, ocultar su proceso y desencadenar múltiples conexiones, nunca hemos visto una aplicación que lo haga, por lo que sospechamos eso." AV / Antimalware comparará sus conocidos (firmas) con el comportamiento actual y con las líneas de base ".

    
respondido por el munkeyoto 13.04.2016 - 13:50
fuente
1

El escáner heurístico (para un archivo) puede buscar / hacer para varias cosas, incluyendo:

  • aislar la aplicación y analizar el comportamiento (qué archivos se crean / eliminan / modifican, ...)
  • buscando enlaces a funciones (escritura directa en disco, enlace de socket TCP, ...)
  • cadenas como nombres de archivos (lectura / escritura de archivos del sistema, ...)
  • capacidad de residencia en la memoria
  • descifrado del programa en el lanzamiento
  • análisis de código de máquina descompilado

La detección de uno o varios de estos elementos puede apuntar hacia una posible amenaza. Un programa que es residente y modifica el archivo hosts , es muy probable que sea malintencionado.

En cuanto al análisis basado en red, no estoy muy familiarizado con él. Pero diría que si hay una máquina dedicada a esto, sería posible ejecutar un análisis del archivo capturado y / o los archivos reportados.

(posible interés en Reconsiderando Antivirus: Análisis ejecutable en la red de la red )

    
respondido por el M'vy 13.04.2016 - 11:57
fuente

Lea otras preguntas en las etiquetas