GuardDuty 恶意软件检测扫描引擎

Amazon GuardDuty 拥有内部构建和管理的扫描引擎和第三方供应商。两者都使用来自各种内部 Feed 的入侵指标 (IoCs)，这些信息可以查看可能针对的不同类型的恶意软件 AWS。 GuardDuty 还有基于我们的安全工程师添加的 YARA 规则的检测定义，以及基于启发式和机器学习 (ML) 模型的检测。扫描 Amazon S3 对象时，当使用相同的扫描定义和引擎多次扫描同一个对象时， GuardDuty 恶意软件防护会产生一致的结果。基于签名的检测不仅包括字节匹配，还包括可能很复杂的代码片段匹配，并且扫描器可以解析内容并做出决策。

恶意软件扫描引擎不执行实时行为分析，在实时行为分析中，恶意软件引爆组件会监控在真实系统中执行的样本。 GuardDuty 解决方案主要是基于文件的检测。为了检测无文件恶意软件， GuardDuty 提供了基于代理的解决方案，例如适用于 Amazon EKS、运行时监控 Amazon EC2 和 Amazon ECS（包括）。 AWS Fargate

它使用的扫描引擎对 GuardDuty 扫描恶意软件的文件格式没有限制，可以检测不同类型的恶意软件，例如加密矿工、勒索软件和网络外壳。完全托管的 GuardDuty 扫描引擎每 15 分钟持续更新一次恶意软件签名列表。

扫描引擎是 GuardDuty 威胁情报系统的一部分，它使用内部恶意软件引爆组件。该引擎会通过独立收集来自多个来源的恶意软件和良性样本来生成新的威胁情报。然后进一步将来自威胁情报系统的文件哈希 IoC 类型推送到恶意软件扫描引擎，从而根据已知恶意文件哈希值检测恶意软件。