关于SONAR是否就是特征码检测的问题

jefffire

回复  kfwsadhjkl 的帖子不是我的理解有问题，我只是提出了反问，感觉轻易的把主动防御技术和特征码技术混在 ...
ming9888 发表于 2010-6-15 17:29

种种迹象表明，sonar和特征码有千丝万缕的关联

asusandy111

当然我的观点是，诺顿的Sonar是一种类似于高级启发式扫描与行为防御结合的产物……因为官方说明是先对文件进行静态行为扫描，以初步确定威胁特征，然后所有组件（扫描引擎、性能监控、行为监控、防火墙、入侵检测、漏洞防御）提交信息，由分类器处理分类，在与规则比对，依据定义的阈值与引擎信誉评级做出判定，因此Sonar与扫描是联通的是不可分割的……

kfwsadhjkl

前面已经说了，除了特征码以外，SONAR还有其他的判断依据。
jiayan72392 发表于 2010-6-15 17:30

目前来看是严重依赖特征码，不然的话，为什么其他软件依赖特征码扫描结果不理想，诺顿的SONAR一样不理想，但是有用行为侦测的微点主防却成绩优秀呢？

kfwsadhjkl

可以看上个月5月17日的测评，红伞、卡巴等都在30%，微点主防80%以上。

kfwsadhjkl

回复  kfwsadhjkl 的帖子不是我的理解有问题，我只是提出了反问，感觉轻易的把主动防御技术和特征码技术混在 ...
ming9888 发表于 2010-6-15 17:29

哦，那是我没看明白。
但是SONAR主防的确很依赖特征码。

ming9888

回复 44# jefffire 的帖子问题是缺乏证据，倒是国内区的砖家那诺顿的主动防御说事，会误导不少的人，就像老佳说的一样，诺顿的核心技术是不会告诉普通用户的，砖家却会误导人的。

kfwsadhjkl

特征码不灵光了，它的防护就有点捉襟见肘了。作为主防来说防护的方式有点乏善可陈啊。

jefffire

当然我的观点是，诺顿的Sonar是一种类似于高级启发式扫描与行为防御结合的产物……因为官方说明是现对文件行 ...
asusandy111 发表于 2010-6-15 17:33

这个可能性比较大，不过依然难以解释为何sonar每次起作用都在程序运行前

ming9888

回复 48# kfwsadhjkl 的帖子卡饭上有些帖子会误导人的，最核心的技术普通用户不会知道的，个人理解不需为此耗费脑细胞。

jefffire

回复  jefffire 的帖子问题是缺乏证据，倒是国内区的砖家那诺顿的主动防御说事，会误导不少的人，就像老佳说 ...
ming9888 发表于 2010-6-15 17:38

这本来就是一个讨论，合理的讨论，难道大家你不说我不说，烂在肚子里才是好？？什么叫误导人？我从我发现的现象得出合理的结论，不一定正确，你可以从技术角度反驳，而不是扣大帽子。上纲上线的年代早已经过去了