查看: 7345|回复: 22
收起左侧

[分享] 诺顿系列没有流量扫描么?不,谁说没有!【解密诺顿的独特流量扫描-IPS】

  [复制链接]
驭龙
发表于 2012-5-5 12:20:40 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2012-5-5 13:10 编辑

之前我也一直误认为诺顿没有流量扫描,但事实上我是错误的,现在我来跟大家分享一下,诺顿的流量扫描,相关情况。

先通过Symantec官方提供数据资料,说明一下IPS入侵保护系统的功能概述
关于入侵防护

“入侵防护”扫描进出电脑的所有网络通信,并将此信息与一组攻击特征进行比较。攻击特征包含的信息可用于确定攻击者对已知操作系统或程序漏洞的利用企图。“入侵防护”可保护电脑不受最常见 Internet 攻击的侵害。

有关“入侵防护”阻止的攻击的详细信息,请转到以下 URL:

http://www.symantec.com/business ... ignatures/index.jsp

如果信息符合某个攻击特征,“入侵防护”会自动丢弃该数据包,并断开与发送该数据的电脑的连接。此操作保护您的电脑免受任何形式的影响。

对访问您电脑的所有设备的每个请求进行“入侵防护”扫描会增加扫描时间,从而降低电脑网速。可通过从“入侵防护”扫描中排除受信任设备来缩短扫描时间并提高电脑网速。如果您确定网络上的某个设备是安全的,则可以使用“编辑设备信任级别”窗口将设备的信任级别更改为“完全信任”。然后,可以选择“从 IPS 扫描中排除” 选项将这些可信设备从“入侵防护”扫描中排除。

“入侵防护”功能依赖一个包含大量攻击特征的列表来检测和阻止可疑的网络活动。Norton Internet Security 会自动运行 LiveUpdate 以使攻击特征列表处于最新状态。如果不使用自动 LiveUpdate 更新,则应每周手动运行一次 LiveUpdate。

附加信息:
Norton Internet Security 中的入侵防护系统扫描进出电脑的所有网络通信。当您的网络上的设备请求访问您的电脑时,“入侵防护”将扫描该请求以确保它不是病毒攻击。扫描访问您电脑的所有设备的每个请求会增加扫描时间,从而降低电脑网速。

如果您知道网络上的特定设备是安全的,可以对该设备应用“完全信任”级别。此外,您还可以从“入侵防护”扫描中排除该特定设备。从“入侵防护”扫描中排除设备时,Norton Internet Security 将信任该设备,不会扫描从该设备接收的任何信息。这可以提高电脑的网络速度并帮助受信任设备快速访问设备。


通过上面引自的Symantec资料,诺顿的强大入侵保护系统,是具有流量扫描的能力,然而这种流量扫描与我们常说的HTTP流量扫描是不同的,这也是很多人认为诺顿没有流量扫描的原因,现在我来简单的说一下(如有错误请多多包涵)

通常的流量扫描是HTTP协议的数据过滤,通俗一点就是,杀毒软件会拿着整个特征库数据对比HTTP协议传输的数据,一旦发现HTTP协议传输的数据,有包含在特征库的恶意代码,杀毒软件将终止传输,拦截恶意代码。

诺顿的IPS所拥有的流量扫描,则与上面说的HTTP协议扫描不同,诺顿不会抱着整个特征库去对比网络传输协议的流量数据,这就是下载压缩包内包含已入库病毒时,诺顿不进行实时拦截的原因。

诺顿监控网络传输协议数据时,是采用独立的IPS特征库,目前特征库包含2000多种入侵定义,包含常见的第三方软件漏洞的入侵数据,诺顿的流量扫描仅检测网络传输协议中包含IPS特征库的恶意代码,一旦检测到网络传输当中包含恶意代码,入侵保护系统将拦截这些入侵的恶意代码。


有些人会认为这样的流量扫描不如采用完整特征库扫描网络传输协议的流量扫描安全,实际上不是的,诺顿IPS特征库包含的是已知通过网络传输协议入侵计算机的恶意代码,凡是通过网络传输协议入侵计算机的行为,只要是被Symantec入库的,诺顿将全部拦截,威胁是很难利用已知漏洞和入侵行为,进入计算机。

诺顿的IPS这种流量扫描,好处在于减少使用整个特征库扫描流量数据的对比时间,减少网络数据传输的延迟,而且又可以阻止利用已知漏洞和已知入侵行为,进入计算机,可以说是兼顾性能与安全的可靠流量扫描方案。

PS:以上是根据我个人经验和官方数据的分析结果,如有错误,请多多包涵,勿怪。

评分

参与人数 7经验 +30 人气 +6 收起 理由
服装ing + 1 好帖子,支持朋友,学习了
嵩弦离合 + 1 支持
wanglei7865 + 1 版区有你更精彩: )
光之优雅 + 30 版区有你更精彩: )
cyk553312 + 1 感谢解答: )

查看全部评分

zhym91
发表于 2012-5-5 13:11:34 来自手机 | 显示全部楼层
所以说,我在用norton360的时候反而感觉上网比什么avast和nod快…而且norton不杀下载的压缩包…?
ywsuda
发表于 2012-5-5 13:13:57 | 显示全部楼层
貌似2013的界面切换流畅许多啊,诺顿真心不错
zhym91
发表于 2012-5-5 13:15:21 来自手机 | 显示全部楼层
ywsuda 发表于 2012-5-5 13:13
貌似2013的界面切换流畅许多啊,诺顿真心不错

直接beta实机感受了?
ywsuda
发表于 2012-5-5 13:16:55 | 显示全部楼层
zhym91 发表于 2012-5-5 13:15
直接beta实机感受了?

虚拟机,现在beta还是个半成品都不算,无法实机
zmzcy
发表于 2012-5-5 13:18:43 | 显示全部楼层
学习了,好文
寒山竹语
发表于 2012-5-5 13:18:50 | 显示全部楼层
很受益,对不懂赛门铁克的人来说。
zhym91
发表于 2012-5-5 13:19:21 来自手机 | 显示全部楼层
ywsuda 发表于 2012-5-5 13:16
虚拟机,现在beta还是个半成品都不算,无法实机

不晓得正式版什么时候出…
ywsuda
发表于 2012-5-5 13:19:59 | 显示全部楼层
zhym91 发表于 2012-5-5 13:19
不晓得正式版什么时候出…

9月差不多了,最晚也就10月
itcql
发表于 2012-5-5 14:04:57 | 显示全部楼层
诺顿确实有很多自己独特的技术
只是IO读取量,真心大
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 16:24 , Processed in 0.129747 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表