Norton Internet Security 2009防御体系详细阐述及对HIPS智能化的一些观点

段誉

本帖由卡饭论坛（kafan.cn）段誉原创，转载请注明出处

前段时间我发表了《赛门铁克（Symantec）完全了解指南》，旨在于帮助大家了解赛门铁克所有防病毒系列软件的核心机制和优势，现在我详细阐述赛门铁克目前的主打产品Norton Internet security 2009（诺顿网络安全特警2009）的防御体系。


首先，大家要明白是的，诺顿（当然也包括其母产品赛门铁克）的杀毒引擎同Kaspersky、ESET、Avira一样都是自成体系的，所有的程序开发都是基于并围绕引擎的，同样，网络防火墙的驱动也是如此，而单独使用诺顿的Firewall系列产品，无论是实际使用效果还是测试防御效果都令人不太满意，这是为什么呢，下面就来揭开这个问题的神秘面纱。


首先请大家来看一张诺顿的立体防御体系图：

大家老说诺顿智能，其实就是智能在这里，老说HIPS，其实诺顿早就有了这个概念，作为一款杀毒软件，唯一应该做到的就是帮助消费者判断并清除病毒，诺顿并不是没有实力做出纯HIPS模块，而是它拥有微软的源代码，能够从底层搭建判断反馈体系，它相信能够创建出基于智能的完美防御体系，而且创始人Norton也是这么做的，因此就有了今天的诺顿，就有了从我们年迈的父母到我们乳臭未干的小弟弟妹妹们都能使用的杀毒软件。 HIPS软件的最大特点是什么——“人来充当引擎”，这需要我们自己首先是个杀毒爱好者，二是需要我们有一定的判断能力，就算你都具备了，还是可能由于HIPS软件被穿透而中毒，因此我认为一款完美的HIPS，必须是基于微软源代码编写的，能够从R0层进行防御，无论是任何程序，包括病毒通过Rootkit、加载隐藏驱动、劫持HOOK或者任何手段，每一个操作系统都挂起并报告才行，但是这样问题就来了，也许开机进入桌面你需要10小时的时间来完成所有加载程序的确认以及内存的重复覆盖及溢出阻止防护，所以现在的HIPS例如微点，具备了病毒库，能帮你智能识别已知病毒，帮你自动排除微软和一些可信任程序的确认，例如TF、EQ和Mamutu等都是如此，而且主要是提供规则的设置，可是大家还是会觉得不安全，因为HIPS帮你“智能”了一部分操作，这点和现在的智能HIPS杀软也没有本质区别了，而我们只有全部都由自己过目后才会觉得安全（也就是自己当电脑），这显然是不可能的，为什么Mcafee杀毒能力不太好但是销量还好，都说咖啡规则好，其实咖啡的规则也顶多是个HIPS的规则设置，既然大家都认可咖啡的防御，那它一定有突出的优点，那就是写了规则就一定防得住，绝不漏掉，随你什么病毒再怎么厉害再怎么猖狂，咖啡都会微微一笑，绝对不抽——因为它是基于R2层的，能够劫持系统操作，这也是目前所的HIPS所不具备的，因此我觉得HIPS如果不能做到咖啡的程度的话，最终的发展就是走向智能的杀毒软件，而最后现在的HIPS模块也仅仅成为了以后病毒防御的一个很小的分析助手，而不像现在显得这么主要。

好了再来说诺顿，首先大家知道诺顿由于有微软源代码的缘故，是基于R0层的，诺顿把R0层的优势没有用于杀毒而是用于了智能模块，这是非常有远见的，因为底层就能全面兼顾，一个行为都不漏掉，而如果用底层来进行杀毒的话还是可能由于病毒库的缺失而漏掉，大材小用。

从图中我们可以简单概括出一个定积分（这样生动一点）：

诺顿的防御体系=∫_a^b（传统防病毒模块+高级检测模式防病毒模块+防火墙模块）dx

其中a=漏洞防御体系
       b=智能控制体系

也就是说它是以三个模块为基础（被积函数），从漏洞防御（积分下限）这一最大特色到智能防御（积分上限）这一最高境界之间的一个积分，并不能简单的分为几层，他是基于智能系统的一个混合结构，是相互联系协同工作的，同享一条数据流，因此原函数将产生一个常数C，从而达到1+1>2的效果。


1.诺顿防御体系的大脑是“赛门铁克智能系统（Intelligent System）”，又称自动系统，这套系统十分原始，是所有赛门铁克防御软件的核心，也在不断的改进，以前历经过的几次误杀均是这位始祖在升级过程中“智能”出现了问题导致的，包括现在的Norton Insight，SONAR均是Intelligent System与时俱进的产物，它搭建了赛门铁克智能防护的基本框架，是赛门铁克购买微软源代码而嵌入编写后的巨大成果。


2.反病毒模块（Anti-Virus）是诺顿网络安全特警2009的心脏，它包含所有的诺顿病毒库特征代码和处理解决方案，所有的病毒判断和清除工作都由它来执行，它受控于智能系统，拥有“基于R0的数据流检测”“基础特征码病毒库”“Bloodhound高启发”“SONAR实时防御”“IPS拦截”“漏洞防御”等左膀右臂；


3.防火墙模块（Firewall）是诺顿网络安全特警2009的免疫系统，虽然不拥有硬件防火墙的NP、ASIC构架的强劲实力，但它受控于智能系统，以反病毒模块为基础，拥有“基于驱动的数据分析拦截”“入侵防护拦截”等，借助强大的反病毒模块之漏洞防御功能，搭建非常完美的网络防护体系，这也是为什么NIS 2009的防火墙测评比NIS 2008飞跃了一个档次的原因。


4.其他模块，这里就不多说了，辅助功能太多,都有很大的价值，比如网页仿冒防护，对网购和网银的安全使用起到了相当大的保障作用，Norton Community Watch等也提供了一些实用的后期保障，局域网查看、电子邮件防护、个人身份管理、还有为管理孩子设计的父母控制等，都是些人性化的设计。

以上说得也不全面，有待以后继续补充，总而言之，诺顿2009应该是诺顿系列中“空前”的一个作品了。

pippo0423

SONAR是自主研发的，不是买的SARASOFT的技术么？

langlangago

支持

PlayWill

对于此类文章 个人认为找一些官方技术白皮书 以及一些官方技术链接，这样说服性更大

sky123456

记忆中NORTON只是有XP和XP前的代码
如果没记错的话
XP和XP前的系统 WINDOWS的系统机制中就两个级别R0 R2 其他的都没有
除了系统的R0外就是R2了 那咖啡的R2又什么特别吗？
什么叫劫持操作系统？

[ 本帖最后由 sky123456 于 2008-11-30 03:08 编辑 ]

laolaoliu

微软已不再向诺顿提供元代码，好几年了。

chentianlong

不错的文章...

kav2046

写得不错，感谢楼主分享！

段誉

原帖由 PlayWill 于 2008-11-30 02:27 AM 发表
对于此类文章 个人认为找一些官方技术白皮书 以及一些官方技术链接，这样说服性更大

是啊，我也看了很多白皮书，包括每年的诺顿全球用户大会中国分会场会场我都去，上周四刚在北京举办了一次，但是赛门铁克的一向作风都是不讲解技术的内涵，给用户讲的都是他们的理念和一些很笼统的套图，一向都是以“给用户最简单的”为理念，官方技术链接也仅仅有Norton Community的一些零星的讨论。

没关系，这篇文章也就是随便写写，帮助刚使用诺顿的朋友们更了解诺顿，对于老鸟来说，应该还是比较熟悉

第一层：特征码扫描+启发
第二层：程序控制，监控可疑行为，IPS+高可疑SONAR监控
第三层：Norton Community Watch上报，和更新后的递归到底一层

的构架吧。

wusuobuzai

原帖由 laolaoliu 于 2008-11-30 07:28 发表
微软已不再向诺顿提供元代码，好几年了。

你这是听谁说的,有什么根据,赛门铁克一直都有微软的源代码,包括vista..