什么是基于规则的分析在恶意软件检测？

Question

我读过一些文章，描述AVs使用的启发式检测要么是“基于权重的”，要么是“基于规则的”。基于权重的方面似乎很有意义，但我不明白什么是“基于规则”的检测，或者它是如何工作的。

这篇文章将基于规则的检测描述如下：

现在几乎所有使用启发式的方法都实现了基于规则的系统。这意味着，进行分析的启发式引擎的组件(分析器)从文件中提取某些规则，并将此规则与一组恶意代码规则进行比较。如果有匹配的规则，可以触发警报。

我只是不明白在这种情况下“规则”是什么。这和其他签名有什么不同。如果它是可用于基于权重的检测的众多特征之一，那么这种方法与此有何显著的不同？

Answer 1

“基于规则”的恶意软件检测背后的假设是，恶意软件通常以某种方式运行，这对于干净、合法的程序来说是异常的。下面是一些规则或行为的例子，这些规则或行为可能会告诉系统受到恶意软件的感染。

1. 丢弃各种恶意软件可执行文件的系统进程(例如:滴管)
2. 一种系统进程，它可以到达随机的、通常是外来的IP地址/域。
3. 多次尝试监视或修改密钥系统设置，如注册表项

这种情况下的规则是指典型恶意软件倾向于显示的预期行为。因此，当反病毒程序遇到这样的异常行为时，它可能更有可能被恶意软件感染，但不确定系统是否被恶意软件感染。

基于规则的分析依赖于区分期望行为和异常行为，当恶意软件改变或“斗篷”本身的“脚印”或行为被隐藏时，这些算法可能会受到影响。此外，单个事件通常并不显着，但其重复的实例常常触发“基于规则”的警报，例如，连接到特定IP地址的次数超过X#(例如用于回叫目的)。