检测风险软件（Riskware）的安全价值——有效对抗混合执行体攻击（反病毒引擎篇）

主要观点总结

本文介绍了安天AVL SDK引擎在应对病毒库升级通告中出现的统计错误事件背后的原因及解决方案，同时阐述了安天对Riskware的检测及其对于反病毒引擎的重要性。文章还介绍了Riskware的定义，恶意代码SCMP分类方法，混合执行体攻击的概念，以及安天引擎如何应对这些挑战。

关键观点总结

关键观点1: 病毒库升级通告中的统计错误原因及解决方案

安天AVL SDK引擎在进行病毒库升级时，出现了统计错误，原因是部分规则出库标志被调整为扩展（Expand），但原有输出升级通告自动化脚本的统计条件是针对带有默认（Default）标志的规则。这导致升级通告的统计错误，但不影响安天引擎的实际能力。发现问题后，安天及时发布了勘误说明。

关键观点2: Riskware的定义及在反病毒引擎中的重要性

Riskware是被定义为为了实现某些确定的、合法的计算机业务功能而编写的程序，其本身并非为恶意目的而开发，但在特定攻击场景下极易被武器化。安天将Riskware归类为一种单独类别，是反病毒业界在“绝对安全”与“可用性”之间寻求的平衡。现代反病毒引擎面临检测Riskware的挑战，要求具备更精细的检测颗粒度，识别潜在风险，并基于情境做出判断。

关键观点3: 混合执行体攻击的概念及挑战

混合执行体攻击是攻击者采用的一种更狡猾和高效的战术，通过组合运用来自不同来源的、性质各异的执行体。其中利用正常文件的战术运用包括利用网管命令行工具、桌面管理工具等。这种攻击模式模糊了黑与白的界限，迫使防御体系拥有更精细的对象识别和基于情境的风险判断能力。

关键观点4: 安天引擎的做法

安天引擎通过精准报警、策略开放、云地结合智能研判等方式应对Riskware带来的挑战。客户可以基于报警名称定义不同的处置策略，实现灵活的安全管理。同时，安天引擎通过结合云查服务，实现更智能的风险判断，降低误报。