查看: 9036|回复: 36
收起左侧

[原创] 无处不在--浅析诺顿智能社区2.0之重要作用

  [复制链接]
皇甫暮云
发表于 2012-1-3 00:55:14 | 显示全部楼层 |阅读模式
本帖最后由 皇甫暮云 于 2012-1-3 20:01 编辑

在2012诺顿安全软件中(包括诺顿网络安全特警,诺顿防病毒软件以及即将推出的诺顿360 6.0),智能社区2.0被引入。至此,诺顿智能社区在诺顿安全软件中的地位被显著提高。在诺顿安全软件中,智能文件分析的身影可谓是无处不在。今天就让它成为我们本文的主角,一同来领略一下诺顿智能社区在诺顿安全软件中存在的重要意义。

本文导读
诺顿智能社区的发展简史2楼
智能社区2.0在2012诺顿安全软件中的分布3楼
诺顿智能社区2.0的工作方式4楼
信誉扫描和应用程序分级的区别5楼
智能社区存在的问题6楼
诺顿智能社区的未来展望7楼

评分

参与人数 6人气 +6 收起 理由
一晴空 + 1 版区有你更精彩: )
明月丶舞白衣 + 1 这个是白天没有冷却的RQ……
薇薇兔 + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )
dopod2009 + 1 版区有你更精彩: )

查看全部评分

皇甫暮云
 楼主| 发表于 2012-1-3 00:57:15 | 显示全部楼层

诺顿智能社区的发展简史

诺顿智能社区首次是在诺顿2009安全软件中被引入。相信当年诺顿2009安全软件带给用户的体验是非常震撼的。其超快的运行速度以及对于系统资源的轻微占用给了当时众多计算机用户深刻的印象,同样,也完全洗刷了以往诺顿“资源大户”的形象。除了在运算代码上做出了优化之外,赛门铁克亦通过添加新功能的方法来降低安全软件对于系统资源的占用。于是,诺顿智能社区应运而生。



不过,在当时的2009诺顿安全软件中,智能社区的作用还非常有限。它通过某个文件在社区中的信誉评分来决定诺顿是否需要对其进行监控和扫描,从而降低诺顿安全软件的扫描频率,以节省系统资源。说穿了,它只是一个白名单机制。对于处在白名单中的文件,诺顿并不会对其进行监控。如此一来,诺顿2009安全产品在运行效率上的提升,智能社区1.0功不可没。

1年后,诺顿安全软件2010发布。在主界面上新增“全球智能云防护”模块。



通过点击该链接,可获取全球智能云防护的相关信息。其实通过该窗口的介绍,用户不难发现。在2010版诺顿安全软件中,智能社区的地位得到了增强。除了保留“应用程序分级”的白名单机制外,诺顿2010安全软件还可以根据指定文件在诺顿社区中的信誉分值,向用户提供相应的文件信息。对于信誉分值过低的文件,诺顿会将其直接处理,以免发生无法预知的风险。另外,智能社区的应用在该版本中也有了拓展。下载智能分析,SONAR 2等,均会使用智能社区中的信誉分值来进行判断并作出文件是否安全的决定。

随着诺顿安全软件2011版的诞生,智能社区再一次得到了增强。2011版中的信誉扫描功能可批量检测指定驱动器或者文件夹下所有文件的信誉评分。

2011年下半年,诺顿2012安全软件问世,智能社区2.0被引入,虽说,在平时的使用过程中,用户可能并不能直观地感受到2.0版智能社区所带来的变化。下面,我们一起讨论一下2012版诺顿安全软件中智能社区2.0的一系列改进。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
皇甫暮云
 楼主| 发表于 2012-1-3 01:01:41 | 显示全部楼层

智能社区2.0在2012诺顿安全软件中的分布

本帖最后由 皇甫暮云 于 2012-1-3 21:21 编辑

在2012版诺顿安全软件中,智能社区可谓是无处不在。我们每一次下载文件,网上冲浪,优化系统的时候都可以看到智能社区的影子。同样在诺顿2012的主界面上,单击“高级”,依旧能够找到全球智能云防护的链接,点击后,出现如下内容:



同样,该窗口内容依旧包含了在诺顿智能社区中已知的正常文件,不良文件以及正在分析的未知文件。这些信息将被用于安全软件中的其他防护模块来决定文件是否可靠。

2009诺顿安全中的应用程序分级在2012中依旧保留。



同样,它的作用是建立白名单机制,将被标示为可靠的文件加入白名单中,从而降低诺顿安全软件对其的扫描频率。以减轻资源上的占用。

根据不同用户的需求,诺顿允许用户调整信任级别,以在性能和安全之间选择最适合自身的方案。诺顿提供三种不同的信任级别:

标准信任:信任被诺顿标示为可信的文件
完全信任:信任被诺顿标示为可信以及在社区中被大多数用户标示为可信的文件
不信任:忽略信誉值,监控所有文件

除了应用程序分级外,诺顿信誉扫描在2012版本中亦包含:





和应用程序不同的是,信誉扫描会检测系统关键部分,全盘以及指定目录中相应文件的信誉分值。并且,对于信誉分值过低的文件,信誉扫描会直接做出处理。对于信誉扫描的工作方式,下文会有相应介绍。

在2012版的诺顿文件智能分析中,系统亦是向智能社区获取文件信息。除了文件发布日期,遍布程度和信誉分值外,新版诺顿智能社区还增加了文件稳定信息。此信息会告诉用户文件的崩溃频率,亦是向用户使用计算机的过程中提供了有力的参考。



同样,对于下载智能分析,信誉分值亦是列为参考的一部分,在2012版中,如果下载文件的稳定性是已知的,诺顿还会给出文件稳定性的记录:





这里提一下,下载智能分析与诺顿下载文件监控并不是一回事。下载智能分析除了使用基本的特征码监控外,还会检测被下载文件在诺顿智能社区中的信誉分数,而当用户下载非可执行文件或者使用下载客户端软件关联诺顿安全软件之时,多数情况下智能调用基础的下载特征码监控。

最后,在启动管理器中,诺顿依旧会给出启动文件在诺顿智能社区中的情况,此时,指定文件的资源使用率也会被列出,为加快系统的启动速度,用户可根据社区中的信息来决定禁用或者延迟启动希望的文件。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1魅力 +1 收起 理由
ikimi + 1 精品文章

查看全部评分

皇甫暮云
 楼主| 发表于 2012-1-3 01:03:29 | 显示全部楼层

诺顿智能社区2.0的工作方式

本帖最后由 皇甫暮云 于 2012-1-3 06:39 编辑

之所以要研发智能社区技术,是因为对于一款安全软件来说,仅凭借特征码技术来对病毒进行查杀,这永远是亡羊补牢的做法。而且,过于庞大的特征码也容易为系统增加不必要的开支。如何在特征码以外为用户提供更主动更前瞻的防护,这对于赛门铁克来说,也是当务之急。此时,诺顿智能社区便是赛门铁克积极寻求前瞻性防卫的方法之一。

从文件智能分析的介绍中可以看到。智能文件分析主要通过文件发布时间,文件在社区中的普及程度,诺顿信誉分值,以及程序稳定性向用户传达信息的。但是文件最终是否安全仍然取决于诺顿官方对于文件给出的信誉总分。对于信誉总分的评定,在后台有专门的数据建模,其运算方法比较复杂。

另外,诺顿智能社区也给予了用户一定的参与权,如果用户对某个文件产生疑问,可在文件智能分析对话框中点击“立即信任”向诺顿传递新的信息。



需要指出的是,为避免网络黑客借此进行刷分,该功能的作用仅是想诺顿提供一个参考性的建议。社区中用户对于此文件的信任度并不会直接决定信誉值的高低。

虽然在很多的情况下,诺顿智能社区会向用户发送文件信誉的参考信息,但是对于信誉值过低的文件,诺顿是会立刻做出处理的。如果看到文件被"suspicious.cloud"隔离,则说明可能是由于文件信誉值偏低而被诺顿暂时隔离。



另外,诺顿安全软件中也有一部分防护组件(比如SONAR)在将威胁处理完毕后,会将被隔离的文件加入上传诺顿智能社区的队列中,通过后台运行“诺顿社区防卫”功能将文件上传至社区作进一步分析。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
皇甫暮云
 楼主| 发表于 2012-1-3 01:04:14 | 显示全部楼层

信誉扫描和应用程序分级的区别

在诺顿2012安全产品中,这两个功能是相对来说比较容易混淆的。因为它们在工作流程上确实有相似之处。但是执行后的效果还是有些不同的。

对于信誉扫描来说,其作用首先是查杀确实属于威胁的文件,然后对于剩余的文件提供信誉信息。



对于应用程序分级,它仅对内存中或者指定范围内的文件进行信誉分级,并确定白名单,但是其本身是不会对文件进行任何处理的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
皇甫暮云
 楼主| 发表于 2012-1-3 01:04:43 | 显示全部楼层

智能社区存在的问题

智能社区作为诺顿安全软件的前瞻性防卫技术,其优势在于能够赶在完整的病毒特征码发布之前将有害的文件做出迅速处理。然而,毕竟没有最完美的技术,智能社区所暴露出的问题也是显而易见的。就目前看来,智能社区判断文件正常与否的准确性是需要建立在一定数量的用户基数上,而且对于一些具有地域特色的软件,如果诺顿在该地区的用户数量偏少,那么很容易造成文件因信誉值不准确而被误杀。

另外,也曾经发现有一部分恶意文件绕过了诺顿社区的监控。不过幸好后来有SONAR补救,用户才免于不该发生的危害。
皇甫暮云
 楼主| 发表于 2012-1-3 01:05:38 | 显示全部楼层

诺顿智能社区的未来展望

本帖最后由 皇甫暮云 于 2012-1-3 01:05 编辑

从2009诺顿安全软件加入智能社区以来,如今已经跨越了4个年头。这4年里,诺顿智能社区获得了长足的进步。其应用也逐渐扩张到了诺顿安全软件的方方面面,可谓是无处不在。在如今的诺顿手机安全软件里,智能社区功能也被包含在了其中。



这不得不说,诺顿本身对于该技术是充满信心的。确实,从最初的白名单机制,到现在集前瞻性防卫、文件信息参考和节省系统资源于一身的诺顿智能社区2.0,该技术确实值得被推广到诺顿的其他产品中。

不过,对于该功能,笔者也有一些想法,这里一并提出,也欢迎各位读者提出不同的看法:

1,正如文章前面所述:对于部分在国际上并不流行但是在国内传播速度相对较快的软件,智能社区应尽快给出对策来减少误报。否则,对于软件厂商来说并不公平,对于诺顿自身,也弊大于利。

2,信誉扫描和基础PC扫描可以集成到一起。在具有Internet的条件下可默认执行系统扫描+信誉扫描。对于信誉值偏低的文件可直接将其处理。如果不具备连接Internet的条件则可调用本地特征码进行扫描。其实这一点在延伸下去讲,虽然诺顿的智能社区在产品中随处可见,但是这些组件给笔者的感觉是“各自为政”,没有一个统一的平台来一次性完成这些基于社区的所有操作。比如,在主界面上点击一键即可完成信誉扫描,应用程序分级,启动管理优化等。

3,还是回到宣传的问题上,对于国内现今越来越多的“云查杀”引擎来说,诺顿“云”的理念在一些场合下显得有些曲高和寡,不被用户所理解。如何理性地看待云,突出自身“云”的特色,或许这也是诺顿中国官方需要考虑的问题。

总之,诺顿智能社区在诺顿安全软件中所扮演的角色愈发重要,其地位已经不可被其他组件所替代。目前2.0版的智能社区已经趋于成熟,相信在未来的诺顿安全软件中,它能够依旧焕发更为强大的异彩。

遗留下来的问题:
1,众所周知,从2011版诺顿安全软件引入了性能警告功能。对于一些占用过多CPU,内存等资源的应用程序,诺顿会给出告警提示。不知道这些提示是否会上传到诺顿智能社区中作为对于该程序稳定性的评分参考?

2,诺顿智能社区在评判最终信誉分值的时候,病毒特征码是否会被考虑在其中?经过测试,一小部分在64位平台和32位平台下都能运行的文件,在32位平台下,诺顿只能社区会提示文件有风险。但是在64位平台下却安然无恙。众所周知,诺顿安全软件在程序上没有原生64位版本,但是病毒特征码,2个平台是完全分开的。


(完)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ikimi
发表于 2012-1-3 06:38:05 | 显示全部楼层
诺顿本来就智能,原理从来不深究
皇甫暮云
 楼主| 发表于 2012-1-3 06:40:51 | 显示全部楼层
ikimi 发表于 2012-1-3 06:38
诺顿本来就智能,原理从来不深究

乃起得真早。。。

刚刚清完AD,马上还要去上班,生活灰常充实。。。

智能归智能,不过偶尔打开深究一下,还是有很多乐趣滴
轻装前行
发表于 2012-1-3 20:03:06 | 显示全部楼层
还是前排,来学习
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 20:01 , Processed in 0.145337 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表