此sonar非同彼sonar？ sep sonar vs nis sonar

北极之上

测试精神 值得支持

驭龙

qpzmggg999 发表于 2012-12-9 08:55
我表示 关闭下载保护后  重新下载病毒后 扫描没有任何发现 解压后报 cloud启发--  （不同的虚拟机 保证没 ...

看来我有空要亲自测一下，看看情况了，哈哈

cainnxq

哇，SEP碉堡了。。。。。超出预期

UDady

SEP是有云的，但响应坑定是没有NIS快的，这我亲身体会，如果网络环境不好的更是如此

qpzmggg999

UDady 发表于 2012-12-9 10:02
SEP是有云的，但响应坑定是没有NIS快的，这我亲身体会，如果网络环境不好的更是如此

坑定-- 笑喷了会告诉你？  sep没nis快 我也有体验 而且 sep的sonar拦截也比nis慢

GreenCodes

qpzmggg999 发表于 2012-12-9 10:04
坑定-- 笑喷了会告诉你？  sep没nis快 我也有体验 而且 sep的sonar拦截也比nis慢

那是在处理，不信你双击试试，打不开的

firefox3

bbszy 发表于 2012-12-8 23:25
把sep的更新设置成连续，好像就有脉动更新，设置之后手动更新每次都说没有可用更新。

多谢解答

尘梦幽然

驭龙 发表于 2012-12-9 07:48
看到你很高兴。

可疑行为检测，如果不是SONAR的细化选项，那就是SEP 11时代遗留下来的功能，那时是SEP ...

根据SEP12.1的更新记录来看，上面明显记录了用SONAR技术取代了TruScan技术。
根据STAR技术简介，SONAR的检测分两种类型：
1.根据可疑行为进行的检测，即第一选项卡，我的观点是：

行为签名（Behavioral Policy Enforcement (BPE) Signatures）
这些签名是根据当前安全形势迅速编写、改进和部署的，这种架构增强了SONAR的灵活性和适应性，以应对传统手段难以检测的以及新兴的威胁，并且误报率较低；通过Liveupdate无缝更新。

2.可疑行为选项卡

行为策略拦截（Behavioral Policy Lockdown）
-偷渡式下载(Drive-by downloads)通常通过有漏洞的浏览器插件入侵，比如Adobe Reader, Oracle Sun Java, 还有Adobe Flash，通过这些漏洞攻击者可以启动包括恶意代码的任何程序。通过一些规则，我们可以很方便的阻止恶意的行为，诸如“Adobe Acrobat不能创建其他可执行文件”或“某些动态链接库(DLL)不允许被注入explorer.exe”，从而保护系统。
-这些规则被称为行为锁定策略(behavioral policy lockdown definition，BPL² )。这些SONAR规则是由STAR团队自动部署和拦截，不需要客户响应，从而自动保护用户。

所以我认为第二选项卡指的是类似于策略的SONAR响应方式。
如果是这样，第二个选项卡中的处理方式都应该是“禁止”，“删除”可能导致白文件被连带删除。

尘梦幽然

qpzmggg999 发表于 2012-12-9 08:54
我感觉sonar是一个 信誉主防 跟踪样本 然后记录它的行为 比如说 访问底盘就+1分 修改系统文件就+2分 磊加 ...

这个思想是大概赛门铁克从Whole Security的产品中学来的。
SONAR据前优卡姐夫大大反编发现大概有以下组件构成：1.静态启发2.动态虚拟机启发3.分类器（这个利用了统计学算法还是人工智能算法我也搞不懂，反正比360的那个复杂得多）这个组件非常复杂，还能收集诺顿其他组件反馈的数据进行综合评定4.信誉

尘梦幽然

qpzmggg999 发表于 2012-12-9 09:00
我觉得sep比nis的 sonar 无非就是多了 防止主机文件被修改 dns被改 然后可以行为检测 这个确实在老版本中 ...

楼主你好，很高兴见到你。
你积分不高但是已经获得了1ML，我对赛门铁克区的前途感到由衷的高兴。
所谓的“可疑行为检测”，我有与你不同的看法（请看88L），而且我对你的测试方法有所质疑。
NIS的SONAR是默认级别而SEP的SONAR却是“主动”级别，这不公平。建议改回默认设置
另外，关于“可疑行为检测”选项卡的设置我也抱有质疑。请看我回复给驭龙88L的内容