火绒安全解决方案.pdf

火绒安全解决方案 威胁、挑战和机遇 INFRASTRUCTURE HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 目录 1. 用户面临的威胁 3  恶意软件 3  灰色软件 3  软件侵权 3  不良网络内容 3 2. 安全软件面临的挑战 5  技术对抗 5  威胁转型 5 3. 火绒安全解决方案 8  分层防御架构 8  内容拦截层 8  规则拦截层 9  行为拦截层 10  内容过滤层 11 INFRASTRUCTURE HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 1. 用户面临的威胁 终端用户是火绒安全软件的服务对象，所以要保护终端用户的系统安全，首先我们需 要分析终端用户真正面临的威胁是什么。  恶意软件 恶意软件 （Malware ）是指包括木马、后门、蠕虫、感染型病毒等在内的各种包含 恶意代码文件的统称。由于早期的恶意软件基本都属于感染型病毒，所以通常我们 也将恶意软件统称为病毒。 从 2007 年左右开始，得益于互联网的快速普及，恶意软件数量呈现快速增长的趋 势。传播方式也从之前的文件感染、局域网传播等传统方式迅速转变为通过社工、 挂马等互联网化的传播方式。早期常被应用于感染型病毒的代码多态、变形技术被 应用于恶意软件生成器、混淆器等 ，恶意软件作者通过混淆器不断快速迭代生成新 恶意样本，以此来对抗安全软件的查杀。  灰色软件 灰色软件一般指广告类（Adware ）程序，这类程序往往会通过弹出广告等方式诱 导、欺骗甚至是恐吓用户以达到推广获利的目的。这类程序不属于一般意义上安全 行业内对恶意软件的定义，但却对用户正常使用电脑产生极坏的影响。 基于上述原因，不同安全软件也采取了不同的策略来进行应对 ，多数安全软件会把 此类程序识别为广告程序（Adware ），或潜在不受欢迎程序(Potentially Unwanted Application ，即 PUA ），或类似卡巴斯基检出的病毒名以 not-a-virus:开头的威胁。  软件侵权 软件的诱导/恐吓/静默推广、捆绑安装、流量劫持、非功能性的隐私数据收集、无 法禁用的广告推送等等，均属于软件侵权的行为。 近年来，在互联网变现的高额利益诱惑下，越来越多的“正常软件”通过各种侵权行 为把用户的电脑作为“肉鸡”进行操纵从而获利。法律监管的空白、职业操守的缺 失 ，使得甚至一些安全软件自身也存在诸多软件侵权行为 ，这些监守自盗的“保安” 甚至比单纯的“强盗”更加可怕。  不良网络内容 在互联网的世界中，从来不缺少投机者。挂马网站、仿冒网站、欺诈网站、非法网 站等不良网络内容始终威胁着用户的网络安全。落入仿冒网站付款导致资金损失的 INFRASTRUCTURE HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 案例屡见不鲜。这些网站往往具有很强的欺骗性和隐蔽性，非专业安全从业人员很 难发现其中的门道。 INFRASTRUCTURE HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 2. 安全软件面临的挑战 安全软件与安全威胁间的较量正书写着整个安全行业的历史，而本节所讨论的内容仅 聚焦在 2007 年以后，即互联