Un antivirus tradicional analiza los datos en reposo y los datos en tránsito en busca de firmas de virus conocidas. (Donde "virus" incluye troyanos, rootkits, etc.)
Esto no ayuda cuando se defiende contra días cero e intrusiones activas. Por definición no tienen firma conocida. ¿Cómo se llama un antivirus que responde a actividad sospechosa (en lugar de firmas conocidas )?
La técnica tradicional descrita suena como un sistema de detección de intrusiones basado en la firma y el host . (IDS es un término amplio que incluye software antivirus).
Algunos sistemas detectan patrones conocidos de mal comportamiento, además de datos mal conocidos. Estas definiciones de patrones no son dinámicas, por lo que aún puede considerarlas como "firmas". En los antivirus de consumo, esta función a veces se incluye en el término general "protección en tiempo real" .
Una implementación dinámica (sin firma) se llamaría IDS basada en anomalías . Esto se basa en el aprendizaje automático para generar heurísticas que se utilizan para detectar comportamientos sospechosos.
Los escáneres de virus que buscan actividades sospechosas a menudo se denominan análisis heurísticos. Puede ejecutar una aplicación en algún tipo de arenero (una máquina virtual especial) para analizar el comportamiento del programa. Buscará la actividad del virus común, como la replicación y los intentos de ocultarse.
A medida que se descubren nuevos virus, los fabricantes de antivirus pueden agregar los comportamientos de virus al motor de reglas, para que también se descubran futuras variantes.
Lea otras preguntas en las etiquetas antivirus terminology anomaly-detection ids machine-learning