GuardDuty 恶意软件检测扫描引擎

Amazon GuardDuty 既有内部构建和管理的扫描引擎，也有第三方供应商。两者都使用来自各种内部源的失陷指标（IOC），从而了解可能针对 AWS 的不同类型的恶意软件。GuardDuty 拥有基于我们安全工程师添加的 YARA 规则的检测定义，以及基于启发式和机器学习（ML）模型的检测。扫描 Amazon S3 对象时，当使用相同的扫描定义和引擎多次扫描同一个对象时，GuardDuty 恶意软件防护会产生一致的结果。基于签名的检测不仅包括字节匹配，还包括可能很复杂的代码片段匹配，并且扫描器可以解析内容并做出决策。

恶意软件扫描引擎不执行实时行为分析，在实时行为分析中，恶意软件引爆组件会监控在真实系统中执行的样本。GuardDuty 解决方案主要进行基于文件的检测。为了检测无文件的恶意软件，GuardDuty 提供了一种基于代理的解决方案，例如适用于Amazon EKS、Amazon EC2 和Amazon ECS（包括 AWS Fargate）的运行时监控。

由于 GuardDuty 恶意软件扫描的文件格式没有限制，使用的扫描引擎可以检测不同类型的恶意软件，例如加密币挖矿、勒索软件和 Webshell。完全托管式的 GuardDuty 扫描引擎每隔 15 分钟就会持续更新一次恶意软件签名列表。

该扫描引擎是 GuardDuty 威胁情报系统的一部分，该系统使用内部恶意软件引爆组件。该引擎会通过独立收集来自多个来源的恶意软件和良性样本来生成新的威胁情报。然后进一步将来自威胁情报系统的文件哈希 IoC 类型推送到恶意软件扫描引擎，从而根据已知恶意文件哈希值检测恶意软件。