Загалом інструменти, засновані на сигнатурах, найкраще підходять для виявлення та відбиття відомих загроз, тоді як інструменти на основі поведінки найкраще підходять для боротьби з експлойтами нульового дня, які ще не потрапили до списку відомих сигнатур загроз.
Якщо підпис файлу збігається з будь-яким у базі даних, він позначається як зловмисний, але функція виявлення на основі поведінки спостерігає за поведінкою програм у режимі реального часу.. Він покладається не на конкретні підписи, а на виявлення підозрілих дій, як-от несанкціонований доступ, модифікація файлів або ненормальна поведінка мережі.
База даних сигнатур вірусів набір унікальних ідентифікаторів (сигнатур), які антивірусне програмне забезпечення використовує для виявлення шкідливого програмного забезпечення. Коли файл сканується, антивірусне програмне забезпечення порівнює вміст файлу з сигнатурами в своїй базі даних. Якщо збіг знайдено, це означає, що файл може бути інфікований.
Антивірус: націлений на відомі шкідливі програми за допомогою виявлення на основі сигнатур. EDR: відстежує, виявляє та реагує на широкий спектр загроз, включаючи складні атаки.
Виявлення на основі сигнатур, також відоме як виявлення на основі правил або зіставлення шаблонів, ґрунтується на ідентифікації попередньо визначених шаблонів або сигнатур відомих загроз. Ці сигнатури створюються на основі характеристик шкідливих програм або атак, які раніше зустрічалися.
Виявлення на основі сигнатур має обмеження; це так не в змозі виявити моделі або індикатори нових загроз, які ще не відомі.