什么是基于有效载荷的签名？

基于有效载荷的签名可检测文件内容中的模式，而不是哈希值等属性，从而识别并拦截被篡改的恶意软件。

安全工具通常利用基于哈希值、文件名或 URL 等易于更改的变量的签名来识别和阻止已知的 恶意软件 感染系统。使用这种签名，识别威胁基本上要求与签名所寻找的特定变量一一对应。

恶意软件 作者现在可以很容易地为现有恶意软件创建成千上万个变种，其中只包含细微的变化，以规避签名匹配。由于传统签名要求对每个唯一文件进行一对一的静态匹配，这些细微的变化使得恶意软件无法被发现。

随着攻击者的演变，保护措施也在不断发展，组织应考虑利用基于有效载荷的签名的安全保护措施，这种签名可以检测文件实际内容中的模式，而不是哈希值这样的简单属性。如果已知恶意软件被以任何方式修改，导致全新的哈希值或其他微小变化，基于有效载荷的签名仍然能够识别和阻止本来会被视为新的未知威胁的恶意软件。

虽然基于有效载荷的签名需要更多的证据和更大的数据集来生成，但安全小组最终需要编写和部署的签名却更少，因为每个签名都能更有效地阻止变种和多态恶意软件，并提供更广泛的保护网。使用基于有效载荷的签名，一个签名可以阻止同一恶意软件家族的数万个变种。其结果是一对多的恶意软件检测，大大提高了预防速度和成功率。

Palo Alto Networks 下一代安全平台 利用威胁情报云，包括通过 WildFire对未知威胁的检测，以及 Threat Prevention 订阅的强制执行，在整个组织内自动分发基于有效载荷的签名。该平台利用其基于签名的专有格式的高保真性，能够独特地防止多种恶意软件变种以及命令和控制流量。