¿Cuáles son las diferencias de implementación técnica entre el escaneo basado en firmas y el escaneo heurístico?

Las heurísticas, ya sean utilizadas en AV, antimalware o en una red, funcionan bajo la premisa de "alejarse de la norma". Para evitar una publicación prolongada, lea " Understanding Heuristics ". Ahora para dar una analogía no técnica que es aplicable a la mayoría (redes, AV, etc.): Imagina que eres un guardia de seguridad en un edificio (AV, dispositivo de red, etc.) y te dicen: los autos rojos son peligrosos. (firma) Estarás vigilando los coches rojos. Esta es una regla estática que te dieron. No sería útil en muchas situaciones. Como guardia de seguridad heurístico, marcarías un auto azul que llevaba cinco pasajeros. ¿Pero por qué? Como aprendió a buscar anomalías, construyó líneas de base.

Las aplicaciones y el tráfico de red siguen patrones, por ejemplo: "Cuando alguien visita un sitio web, realiza las funciones XY y Z". Este patrón se repite donde una aplicación lo considera normal, cualquier desviación de esta norma es una anomalía. Su aplicación se ajusta: "Si todo se ve como A, y ya sé que B puede ser malo, me pregunto cómo se verá la intersección o la variación, debo tener cuidado de que cualquier cosa que se vea menos que una A estelar, pueda estar relacionada. a B, y marcarlo ". Así es como dicen Proventia de IBM y otros hicieron esto. "Después de tanto tiempo, A siempre es igual a A, cuando no lo es, retrocedamos históricamente y veamos si la adición (B) cumple con los criterios para acciones maliciosas conocidas / sospechosas".

Ahora podemos marcar en la red: " En condiciones normales, un usuario se conecta al puerto X y envía N cantidad de datos. Curiosamente, ahora tenemos un usuario que se ha conectado 10 veces en menos de un minuto. y ha enviado Z cantidad de datos . ALERTA "Esto también es cómo funcionan los sistemas IDS , y por qué, cuando se detectan anomalías, la mayoría de los administradores tienen que comenzar a ajustar los falsos positivos. En el lado de malware / AV de la ecuación, se aplica lo mismo: "El archivo A.exe no debe renombrarse a sí mismo, ocultar su proceso y desencadenar múltiples conexiones, nunca hemos visto una aplicación que lo haga, por lo que sospechamos eso." AV / Antimalware comparará sus conocidos (firmas) con el comportamiento actual y con las líneas de base ".

El escáner heurístico (para un archivo) puede buscar / hacer para varias cosas, incluyendo:

• aislar la aplicación y analizar el comportamiento (qué archivos se crean / eliminan / modifican, ...)
• buscando enlaces a funciones (escritura directa en disco, enlace de socket TCP, ...)
• cadenas como nombres de archivos (lectura / escritura de archivos del sistema, ...)
• capacidad de residencia en la memoria
• descifrado del programa en el lanzamiento
• análisis de código de máquina descompilado

La detección de uno o varios de estos elementos puede apuntar hacia una posible amenaza. Un programa que es residente y modifica el archivo hosts , es muy probable que sea malintencionado.

En cuanto al análisis basado en red, no estoy muy familiarizado con él. Pero diría que si hay una máquina dedicada a esto, sería posible ejecutar un análisis del archivo capturado y / o los archivos reportados.

(posible interés en Reconsiderando Antivirus: Análisis ejecutable en la red de la red )