勉強前イメージ
パターンマッチングでもないけど、振る舞い検知でもない、
動きのパターンを検知する方法ってぐらいしか・・・
調査
ヒューリスティック検知 とは
Heuristic は 「経験則の・試行錯誤的な」 という意味で、セキュリティソフトのウイルス検出手法の一つです。
あらかじめウイルスが持つ特徴的な挙動を登録して、その挙動を比較して検知する方法です。
ただ、挙動が似ている正常なプログラムも検出するため誤検知も可能性としてあります。
基本的にはパターンマッチングと併用して使われていることが多いです。
ヒューリスティック検知の種類
以下の2種類があります。
- 静的ヒューリスティック検知
静的なことから、スタティックヒューリスティックとも呼ばれています。
プログラムが実行する前に分析し検知する方法で、実行する前に排除することができます。
しかしこの段階でウイルスかどうかがわからない時があり、その際は動的ヒューリスティック検知で最終的に確認を行います。
- 動的ヒューリスティック検知
動的なことから、ダイナミックヒューリスティックとも呼ばれています。
こちらは実際にプログラムを実行させてからウイルスかどうか確認する方法です。
しかし実際にプログラムを実行させるのはリスクが高いので、サンドボックスと呼ばれる安全な仮想環境上で実行させてプログラムの挙動を確認します。
実際に実行すると負荷が高くなるので全てのプログラムを動的ヒューリスティック検知で確認するわけにいかないので
静的ヒューリスティック検知から漏れたものを動的ヒューリスティック検知で確認を行います。
勉強後イメージ
ヒューリスティック検知にも2種類あって
わかりやすいものは静的ではじかれて
ややこしいやつは静的→動的で確認ってことなのね。