sonar的实质与其在NIS中的作用

智琛

众所周知，NIS中的sonar被称作诺顿的主防。

但是，其帮助中称“关于SONAR 主动防护Symantec 前瞻响应在线网络技术 (SONAR) 通过主动检测电脑上的未知安全风险，为您提供实时威胁防护。SONAR 基于应用程序的行为来识别新出现的威胁。与基于特征的传统威胁检测技术相比，SONAR 识别威胁的速度更快。甚至在通过 LiveUpdate 提供病毒定义之前，SONAR 也可以检测和防御恶意代码。SONAR 通过启发式检测来监控您电脑上的恶意活动。SONAR 会自动阻止并删除高确定性威胁。当检测到并删除高确定性威胁时，Norton Internet Security 会通知您。SONAR 允许完全由您决定在检测到低确定性威胁时如何处理。此外，通过禁用“显示 SONAR 阻止通知”选项，您还可以停止 SONAR 通知。通知警报中的“查看详细信息”链接可用于查看已处理的高确定性威胁的摘要。您还可以在“安全历史记录”窗口中的“已解决的安全风险”类别下查看详细信息。”

大头猫咪 ：sonar是诺顿的一种主动行为分析防御技术,虽然有些版本是翻译作主动防御,但是sonar和主流的主防软件的原理又有所不同。

智琛深喑HIPS，hips多是不需要更新的，我不是指程序而是指收录库，即病毒库和特征码，如毛豆，即可以清楚的了解某些程序的使用过程中的调用和写入，也可以在某个环节予以阻止，因此就导致了hips的使用繁琐，即便是智能的hips也不能做到0弹窗，而sonar又与传统的hips又有所不同，或许基本不是出自同一原理，当然sonar的安静智能的操作和检测，当然会让人觉得不习惯，不过它与传统的hips有何区别？难道和微点的想法基本是一致的么？

我个人并不是特别了解NIS的sonar，微点的想法是直接依据病毒行为自主识别用户计算机的新病毒，预先防止病毒感染用户计算机。不清楚诺顿是什么想法。

sonar的易用性和高效率想必大家都了解，sonar的实质是什么呢？希望各位告知，共同讨论。

拥有sonar的诺顿算不算是4D套装呢？不能妄下定论，此贴旨在抛砖引玉，望有识之士参与讨论，感激不尽。

12.26后续：纵深防御

STAR的反恶意软件的安全技术分解为四大类：
基于文件的保护

我们的签名和启发式扫描引擎构成了赛门铁克的安全解决方案的骨干，这些引擎使用技巧几十扫描已知和未知威胁的文件。 目前，这些引擎扫描超过750万个签名，在每个文件的25毫秒的平均值！ 总的来说，这些发动机检测威胁，每年数十亿美元。

虽然这些是最成熟的技术，我们的保护，卫星将继续投资和创新我们的核心技术，以保持景观扫描电流对威胁的最新发展。 保护包括基于文件的是 杀毒引擎 -赛门铁克的独特的扫描引擎，能够快速，高效的文件扫描， 自动保护 -赛门铁克的实时文件扫描仪，可检测任何威胁的计算机时刻，他们被保存在您的硬盘驱动器;和 马胡尔和警犬 -我们的启发型防护技术，可检测静态文件内说明新的可疑/未知的恶意软件的搜索，在他们有机会执行。
基于网络的保护

STAR的基于网络的保护包括一组技术，旨在阻止攻击电脑过渡，正如他们从网络有线或无线网络的，在他们有机会介绍到一个恶意软件系统。 不像基于文件的保护，必须等到一个文件的物理计算机上创建一个用户的扫描前IT，网络为基础的保护分析所有传入的数据流才可以伤害处理的计算机的操作系统和原因。 本类包括三个不同的保护技术： 网络入侵防护解决方案（网络IPS） -协议识别的IPS能够理解和扫描不同的网络协议为可能的攻击超过200人; 浏览器防护 -一个引擎，浏览器坐在里面的用户的网络，可以检测最复杂的基于Web的威胁是不可见的传统的AV和网络IPS，以及 未经授权的下载保护 -的最后一道防线，可以帮助减轻使用签名不明，没有打补丁的漏洞，对零层提供进一步的保险日攻击。
基于行为的保护

基于行为的保护技术，积极观察您的计算机上运行的威胁和正在运行的程序可以终止，如果他们表现出恶意行为，该技术提供了从全新的，以前看不见的攻击的主动式防护。 主要引擎，称为声纳，具有人工智能为基础的分类引擎，人撰写的行为特征，行为和政策锁定引擎。 这些引擎寻找可疑的行为序列中运行的程序是合法的软件异常，当声纳观察这样一个可疑的序列，它可以终止并立即删除有问题的程序没有任何病毒的指纹。 我们的引擎提供了先进的行为对全新的零日攻击的保护。

我们的声纳系统采用人工智能技术，学习好的和坏的应用程序之间的区别。 培训声纳，我们的工程师提供了近200万不同的好的和坏的行为型材应用系统。 声纳然后学会如何区分合法和恶意行为对自己，使其能够识别过去的经验为基础的新的威胁。 系统监视近400个不同的行为，使其分类，使其能够迅速发现并删除恶意行为恶劣应用程序之前，他们能做的伤害。

为配合其人工智能为基础的分类引擎，声纳还支持研究员撰写的行为特征。 研究人员给这些签名卫视完全有能力识别新的恶意软件的威胁，表现出明确规定的行为，这些签名是有用的，因为许多恶意程式家族的变种含有突变，每个看起来完全不同的磁盘上，数千然而，所有这些变种表现出相同的基本行为特征。

一个精心编写的行为签名可以即刻恶意软件保护对整个家庭。 此外，当今最先进的一些威胁字面意思是“注入”到合法的应用程序或操作系统文件，从那里执行恶意行为本身。 在这种情况下，它可以消除危险，而不会造成损害的底层操作系统或应用这些威胁。 为了解决这些威胁，声纳有能力施加感染，但各地的合法应用虚拟沙箱中。 通过这样做，声纳可以防止恶意行为采取任何可能损害被感染的计算机应用程序。
基于声誉的保护

除了最新的保护技术套件由STAR，我们的Ubiquity的信誉为基础的安全系统开发，已在发展超过四年。 这项技术的最初版本最初部署在我们的诺顿产品在2009年9月。 这种声誉为基础的技术阻止访问恶意文件和“聚众为本”的100米+万客户智慧的网站。

的普及信誉为基础的安全系统解决威胁环境中的最新发展，即微分布的恶意软件。 在往年，攻击者散发了独特的威胁相对少数几百万的机器，使指纹识别相对容易。 今天，攻击者产生不同的数百万，变异的威胁，发送到每一个机器极少数。 我们的数据显示，今天的大多数威胁不到全球20个观测设备。 与发电，每天超过60万的新变种攻击，这是不可行的安全厂商创建，测试和分发传统签名体积要解决这个问题。 此外，由于他们的微分布，这是从来没有发现指纹或送往安全厂商的许多威胁。 而且，如果安全厂商永远不会收到一个样本，他们无法指纹了。 其结果是独特的感染，这完全绕过传统的指纹百万美元。

赛门铁克的普及利用了赛门铁克庞大的用户基础，以准确地推导出各种应用，好的和坏的在互联网上，安全评级匿名使用模式。 把它看成是软件的查格调查。 该系统通过分析得出的相望赛门铁克庞大的用户群的分布格局文件（或缺乏）的安全评级。

为了计算这些评级，赛门铁克的用户约占他们所使用的应用程序的匿名，实时遥测数据。 星再补充这与来自赛门铁克全球智能网络，从我们的安全响应机构和合法软件供应商谁提供关于其新出版的应用，赛门铁克数据遥测数据。 这些数据已被纳入一个匿名机器之间关系的文件和大型模型，这与一个庞大的社会网络的匿名，处理，然后将其导出为每个应用程序的安全等级。 目前，正在跟踪系统的普及，从100多万参与用户超过15亿好的和坏的文件，是发现在超过每周20万套新文件。
SONAR是一种行为上的安全引擎，在我们的反恶意软件防御的核心。 随着恶意软件的空前增长，已在过去数年观察到，一个有效的安全产品必须能够区分一个没有指纹需要一个好的一个新的二进制/软件坏作品。 声纳，首先介绍了几年前把诺顿产品，已被重新写为2010年的产品，以配合当前威胁环境的步伐，并采取其他新的功能，如我们的法定人数信誉服务，优势。


为什么我们需要安全的行为？


这已经不是什么秘密，今天的威胁活动在很大程度上集中在网络，特别是关于入侵系统通过Web浏览器，并且无论它的IE，Firefox或其他什么东西。 用来散布恶意软件的策略包括社会工程，其中以欺骗用户下载恶意软件的一块打包在一个良性的工具或故作一些有用的东西（如视频编解码器安装程序）。 其他方法包括驱动器逐个下载，如浏览器和/或它的组件的漏洞被利用来下载没有用户的参与对最终用户的机器上的恶意软件。 这些技术的背后，都存在一个感染Web服务器，要么成立了由攻击者的攻击人的目的，或更频繁，这就是一个砍死，并出于同样的原因使用。 使用Web服务器和攻击代码很容易在地下经济可用，网络犯罪分子可以产生的，企图逃避安全软件的检测新的和独特的飞行恶意软件的变种。 对恶意攻击者能够创建独特的外观上的需求已经对传统的基于签名的恶意软件检测策略令人难以置信的压力。 基于签名的恶意软件的安全方法要求对已被创建并释放到引擎或云进行检测，指纹看到。 这并不是说“签名死”或没有用，他们仍然是重要的防御线，一个现代化的安全产品，但他们现在发挥中心之一，而不是他们以前更多的辅助作用。 行为保护致意通过检测未知威胁的基础是它在一个系统（或试图这样做）的签名和声誉模型。


什么是关于诺顿2010产品的行为保护独特之处？


在一个非常通用的描述，行为安全标识可执行的关键行为和利用这些行为来识别它属于软件等级。 这可能听起来很直接，但真正的关键是要做到不影响性能，不询问用户如何处理可疑的程序做，当你不是100％的处置一定的。 去年，我们着重介绍了业界最轻，速度最快的安全产品和我们的工作目标，今年更是雄心勃勃。 为更好未知的恶意软件检测不牺牲性能需求对我们的“实时”行为安全引擎，SONAR2，因为它必须运行监测活动，并阻止恶意行为同步的一个关键挑战。 赛门铁克的法定人数后端情报，首先是在2009年诺顿作为白名单产品介绍，起着塑造声纳2的成效，帮助我们提供了一个引擎，可以可靠地做而没有与有关未知的程序，并以最少奇怪的问题用户自己的工作方面发挥关键作用在PC上的开销。


声纳2如何与以前的版本比较？


诺顿用户有安全的行为在早期版本中诺顿也受益。 随着SONAR2，发动机已经发展极大地提供高效，实时的行为保护。 在这项技术的早期版本中，有不同的行为越来越被分析。 声纳和1的“最后防线”的反应之一，但大部分是在处理许多未知的威胁仍然有效。 有声纳2，该技术已主动和实时，使得使用一套广泛的因素，应该使我们未知的恶意软件防护速度更快，更有效的成熟的决定。 SONAR2有能力挑战的可执行文件，并尝试进行分类新的可疑进程的行动之前，他们的行动是在系统允许的。 经归类为恶意软件，它完全有能力修复的威胁，以及从系统的组成部分。


SONAR2如何工作的？


随着安全引擎和技术，我们有，SONAR2广度利用一切可能的信息来源，使有关的文件构成的风险到PC和它的主人非常快的主观判断。 作为一个例子，源网址，网站声誉，是一种运输方式的信息件，其中许多人会前分类系统用于快速制作一个关于未知的文件要求，等等。 因此，预归类制度，使我们缩小可疑文件和组件的重点更具体。 以下预分类，然后分析，并使用SONAR2有关文件本身，它关系到系统的证据。 关系分析涉及的了解和收集有关系统使用的角度，从文件信息。 然而，'收集资料'不是一个活泼，但一个实时的活动正在执行的文件进入系统。 同样，这使我们甚至质疑文件是否存在，因为它成为通过注册自己的操作系统和各种应用系统的一部分。 因此，一个文件可以被归类为恶意的，一经定罪之前的时候就多系统运行。


现在，当文件执行，声纳2观察实时关键行为同步。 这些行为都是经过精心挑选最有表现的影响，但大多数的有识之士把潜在的“恶意”的运行过程量。 由于工艺展品这些关键行为时，它是什么做的是增加了在预归类和分析与此有关的所有知识收集的证据被送入一个实时的分类引擎，可以帮助确定过程恶意和文件。 发动机的分类不只是用好和坏的行为的学问，像第一代通常没有行为发动机。 在声纳2分类引擎还使用了诺顿社区和仲裁的技术力量，建立一个分类器是真正代表，这些行为的发生率在全社会的诺顿用户的应用程序。 因此，一个恶意的行为观察大班的恶意软件，可广泛需要的唯一证据定罪的可疑软件的新作品。 赛门铁克，安全分析家都在不断观察和分析新的恶意程式家族的分类系统，这是其在例行场效益衡量。 分类系统可以无缝地更新和发布给我们的客户，而无需发布一个新的引擎确保他们有威胁的最新最好的保护，象过去那样经常。


同样，预归类制度和恶意行为的关键观察结合在一起，引擎是非常的分类结果作为在一个进程的生命周期尽可能早的信心。 除了极少数情况下，系统不需要，也没有逐步/缓慢增加对这一进程的怀疑导致一个信念，给它的时间来下载其他威胁或以其他方式破坏系统。



SONAR2系统采用的分类系统比〜400个数据点。 这些数据点是广泛的研究和测量的价值，他们提供的分类系统，并不断增加或下降，以配合不断变化的景观就不断。 数据点包括本文件，它关系到系统中，其运行时的行为等存在的证据


运行时的行为不仅限于只想如何相互作用的过程与操作系统或什么进程的系统一样。 SONAR2具有甚至观测由该软件在网络上展示行为的独特优势。 由于大多数恶意软件的动机是通过网络进行通信外，独特的知名度，我们到进程行为已经允许我们使用的分类造成非常高的成功率在一个进程的最后分级制度这一点额外的数据。



SONAR2是一个更广泛和有效的行为引擎，不只是集中在一个文件分类/过程。 一旦引擎识别恶意文件或一个过程，定罪的文件或进程的过程，也是“艺术状态”。 它试图追查恶意文件，它的所有组件，其谱系信息做有效地干净“卸载”的全包，而不是仅仅恶意的恶意文件本身。


即使在我们发布的2009年的产品，去年，我们在开始设计和新独立的资产净值今年的版本交付声纳工作2。 这是一个漫长的旅程，甚至比预期的有点困难，但我们自豪地介绍给你今年并认为它提供了真正强大的还是未知的恶意软件防护性能的影响最小和用户交互。http://community.norton.com/t5/N ... SONAR-2/ba-p/117130
声纳3：在Norton 2011行为安全新水平
由 sourabhsatish 在 2010年4月23日 上午11:47

今年，我们有一些安全引擎创新行为改变建立在成功的，有效的，高效的声纳2。 对于那些谁不熟悉的声纳技术，这里是一个链接到一个 文章 描述它。 有声纳2，我们有一个其他安全功能的良好记录被恶意软件旨在逃避定罪最能够从恶意软件和安全诺顿用户。 在过去九个月，我们无法单独向上的420万用户感染了约140万起的诺顿我们分析。 这些事件大部分是以前从未见过的恶意软件和病毒感染的情况，从而真正提供“零时差”的保护！ 该技术的有效性，我们一再证实了外部的3 次 党 的测试和审查 （具体行为安全技术检验和评价），在那里我们率达到或接近100％的检测。 行为安全是一个关键的安全解决方案，特别是在这个时代的恶意软件的服务器端多态性在每一个感染可有一个恶意文件的唯一一块（从文件的角度独特的指纹）机下载到受害者的。 我们很高兴我们的下一个声纳声纳3 2释放超越！


下一步是什么？

我们认为，安全是一个旅程，而非终点。 在过去的一年，我们已采取类似的袭击一对夫妇注意到的有趣的趋势，在复杂的恶意软件的世界中，如大幅上升误导性应用程序的威胁和有针对性的分类 Hydraq 。 令人欣慰地看到， 声纳2检测Hydraq 没有任何分类改变我们的。 我们进一步微调的分类处理这些趋势。 我们还增加了约60我们的分类的新功能，并且已经看见检出率显着改善的威胁，我们内部的实验室测试。 这使我们的功能集到约400！

这些特性使我们大量的优势，随着声纳跟踪和检查有关文件，进程，或相关活动进行分类的许多方面，它变得这么多的恶意软件变种更难过去我们的分类引擎或一个干净的样品被错误分类。 当然，挑战是在分析这些信息几乎是瞬间，而不会影响系统性能，同时使自动为用户决定。 和声纳3是如何让这一切是可能的证明。



在分析了数百万用户的诺顿140多万起声纳3，我们增加了更多的功能和干净的样本，以便确定我们可以专门针对可疑情况规定。 这是使我们能够继续我们的功能添加到一个更精确的分类设置。 越快，我们可以忽略它作为样本，进行分类清理，更好的用户体验。



除了我们已经添加更多的属性进行更改，声纳团队一直非常忙碌适应和创造的世界和清洁的恶意软件发展进程的新分类。 该小组一直忙于更新我们的分类和释放，因为航运声纳2七，在过去九个月的定义更新。 团队产生的声纳和评估了200个不同的分类，因为去年我们发布声纳，解决我们从我们的诺顿用户得到更多的定罪不常见的恶意软件和减少假阳性已发生的事件的反馈。



一个主要的威胁类别，我们的重点是有声纳3是误导的应用程序。 这种威胁阶级已经得到广泛的注意，我们很高兴能够提供探测声纳3，它显着的改善。



我们也取得了签名的行为，在这里我们可以迅速作出反应，以书面的行为特征，利用特定的功能和即将到来的新威胁方面进一步改善。 虽然我们的分类一直在检测新出现的威胁及其变种相当成功，我们相信在分层安全模型。 在某些特定的威胁的情况是较为有效和有价值的目标与它的具体特征的威胁，而不是给它一个分类。



由于已经有详细的 声纳2个职位 ，声纳聚集和关联，发动机，发动机入侵预防信息从AV数字引擎内的产品，如防火墙等，所有这些信息，然后使用的分类，提高疗效。 我们觉得这是一个很大的区别其他厂商诺顿结束。 大多数其他安全产品根本就没有这个信息的深度和广度，使一个很好的分类。 声纳3我们进一步加强分类，定罪修复恶意软件，并在此基础上的恶意网络活动的顺序与我们的集成网络成分的研究。 这个地方的特点，我们会继续阻止和消除了许多新的恶意软件的变种该离开自己的网络覆盖范围不变。



所有这些和我们正在继续改进工作，我们相信我们正在采取行为安全到了一个全新的水平。 我们希望这些新的改进将被证明是与快速演变的威胁环境处理和保持你的安全非常宝贵的。 我们不能等到出舰声纳3诺顿数百万用户。 所有的诺顿2010和N360v4用户也将受益于这些进步，以能力增强使用声纳与声纳2，我们通过实时更新的感谢。



所以，这就是我们面临的！ 让我们知道您的想法 - 声纳团队价值观您的意见，我们希望你看到所有的公开测试的改进。 您的反馈可以帮助我们知道我们需要改进，我们把它作为我们最重要的成功与否的晴雨表您的意见和建议！

智琛

希望各位能拿出各自的sonar的表现

keyoushi

个人感觉SONAR是集启发，分析和主防于一身的，NIS对文件的判断顺序应该是本地库——社区云（这里应该是信任分析）——SONAR（这里应该是行为分析和启发）。
这个帖子：http://bbs.kafan.cn/thread-874265-5-1.html
偶实机释放了木马，SONAR的拦截应该很说明问题。

智琛

keyoushi 发表于 2010-12-25 19:32
个人感觉SONAR是集启发，分析和主防于一身的，NIS对文件的判断顺序应该是本地库——社区云（这里应该是信任 ...

嗯，我有看到sonar的实机成效，但是具体的解释还不清楚。貌似网上也没个sonar的单独测评，可能是因为sonar不能单独拿出来

keyoushi

回复 4楼 黄智琛 的帖子

偶个人倒是觉得SONAR的起名特别有意思，翻译过来是声纳，铁壳并没有叫做雷达呵呵。声纳的作用就是在复杂背景环境下对不明物体的定向侦测，它本身也需要其它情治单位的配合才能最大程度的提高准确性，要是单独拿出来只怕是又一个NPE呵呵~

智琛

keyoushi 发表于 2010-12-25 19:41
回复 4楼 黄智琛 的帖子

偶个人倒是觉得SONAR的起名特别有意思，翻译过来是声纳，铁壳并没有叫做雷达呵呵。 ...

或许，感谢您的意见

期待更多人参加讨论

Liub

何必过于追究原理 效果好拿过来用就是了

智琛

Liub 发表于 2010-12-25 19:55
何必过于追究原理 效果好拿过来用就是了

格物致知

Liub

回复 8楼 黄智琛 的帖子

如果你不是专业人士 就没那个必要 好比用电脑非要搞清楚cpu工作原理   
打电话就要清楚通讯原理吗？
你这样搞的话 小心综合症

智琛

Liub 发表于 2010-12-25 21:16
回复 8楼 黄智琛 的帖子

如果你不是专业人士 就没那个必要 好比用电脑非要搞清楚cpu工作原理   

貌似我没综合症，我好早就没有综合症了

或者说了解原理机制更好的使用

貌似ESET我已经了解了，觉得蛮舒服