Las heurísticas, ya sean utilizadas en AV, antimalware o en una red, funcionan bajo la premisa de "alejarse de la norma". Para evitar una publicación prolongada, lea " Understanding Heuristics ". Ahora para dar una analogía no técnica que es aplicable a la mayoría (redes, AV, etc.): Imagina que eres un guardia de seguridad en un edificio (AV, dispositivo de red, etc.) y te dicen: los autos rojos son peligrosos. (firma) Estarás vigilando los coches rojos. Esta es una regla estática que te dieron. No sería útil en muchas situaciones. Como guardia de seguridad heurístico, marcarías un auto azul que llevaba cinco pasajeros. ¿Pero por qué? Como aprendió a buscar anomalías, construyó líneas de base.
Las aplicaciones y el tráfico de red siguen patrones, por ejemplo: "Cuando alguien visita un sitio web, realiza las funciones XY y Z". Este patrón se repite donde una aplicación lo considera normal, cualquier desviación de esta norma es una anomalía. Su aplicación se ajusta: "Si todo se ve como A, y ya sé que B puede ser malo, me pregunto cómo se verá la intersección o la variación, debo tener cuidado de que cualquier cosa que se vea menos que una A estelar, pueda estar relacionada. a B, y marcarlo ". Así es como dicen Proventia de IBM y otros hicieron esto. "Después de tanto tiempo, A siempre es igual a A, cuando no lo es, retrocedamos históricamente y veamos si la adición (B) cumple con los criterios para acciones maliciosas conocidas / sospechosas".
Ahora podemos marcar en la red: " En condiciones normales, un usuario se conecta al puerto X y envía N cantidad de datos. Curiosamente, ahora tenemos un usuario que se ha conectado 10 veces en menos de un minuto. y ha enviado Z cantidad de datos . ALERTA "Esto también es cómo funcionan los sistemas IDS , y por qué, cuando se detectan anomalías, la mayoría de los administradores tienen que comenzar a ajustar los falsos positivos. En el lado de malware / AV de la ecuación, se aplica lo mismo: "El archivo A.exe no debe renombrarse a sí mismo, ocultar su proceso y desencadenar múltiples conexiones, nunca hemos visto una aplicación que lo haga, por lo que sospechamos eso." AV / Antimalware comparará sus conocidos (firmas) con el comportamiento actual y con las líneas de base ".