Las heurísticas son:
- técnicas de aprendizaje
- sentido común
- descubrimientos
Su objetivo es reconocer un virus analizando su código (no limitado a). Si un programa está programado para abrir un determinado archivo, o para cargar / leer cierta dirección de memoria.
Estos métodos se basan en múltiples criterios. Eventualmente, pueden ejecutar el programa en un entorno virtual para monitorear los esquemas de virus conocidos: replicación, sigilo, etc.
El conductismo es un análisis en tiempo real. Al analizar lo que hace un programa (E / S de archivos, E / S de memoria, E / S de red, uso de la PC durante el tiempo de inactividad, ...) puede evaluar si es legítimo o no. Si un programa comienza a disparar paquetes en 100 direcciones IP en cada puerto, puede estar seguro de que es un virus, porque no es un comportamiento normal para un programa.
Concluyo diciendo esto: el conductismo trata con comportamientos desconocidos (sin duda, intenta identificar el comportamiento del usuario para detectar cambios en la actividad normal) y ciertamente utiliza la heurística. El objetivo de la heurística es detectar un virus o variante desconocidos, pero el esquema que están buscando es bien conocido.
Algunas referencias:
- Wikipedia, por supuesto: enlace ; enlace
- Algunos artículos periodísticos: enlace
- Un documento sobre el tema: enlace (tal vez acceso limitado)