GuardDuty 惡意軟體偵測掃描引擎

Amazon GuardDuty 具有內部建置和管理的掃描引擎和第三方供應商。兩者都使用來自各種內部饋送的入侵指標 (IoCs)，這些饋送可查看可能鎖定的不同惡意軟體類型 AWS。 GuardDuty 也具有以安全工程師新增的YARA規則為基礎的偵測定義，以及以啟發式和機器學習 (ML) 模型為基礎的偵測。以簽章為基礎的偵測不僅包含位元組比對，還包括可能複雜的程式碼片段，而且掃描器可以剖析內容並做出決策。

惡意軟體掃描引擎不會執行即時行為分析，其中惡意軟體引爆會在實際系統中執行時監控範例。 GuardDuty 解決方案主要是以檔案為基礎的偵測。為了偵測無檔案惡意軟體， GuardDuty 提供代理程式型解決方案，例如執行期監控適用於 Amazon EKS、Amazon EC2和 Amazon ECS（包括 AWS Fargate)。

掃描 GuardDuty 惡意軟體的檔案格式沒有限制，其使用的掃描引擎可以偵測不同類型的惡意軟體，例如加密程式、勒索軟體和 webshell。全受管 GuardDuty 掃描引擎每 15 分鐘會持續更新惡意軟體簽章清單。

掃描引擎是 GuardDuty 使用內部惡意軟體引爆元件的威脅情報系統的一部分。這會透過獨立收集來自多個來源的惡意軟體和良性樣本來產生新的威脅情報。來自威脅情報系統的檔案雜湊 IoC 類型會進一步饋送至惡意軟體掃描引擎，以根據已知的不良檔案雜湊偵測惡意軟體。