诺顿的主动防御是单步的吗？

pizza

回复 17楼 ZJUER 的帖子

不符合定义，但是执行多项HIPS的行为防护，所以说不限于HIPS。
防火墙中的事件监控为HIPS，执行行为阻止提供自动与手动，对于事件行为防御部分功能分配到SONAR中。你说的定义应该是属于手动HIPS的，会根据对文件或注册表项的修改而跳出询问。而我说的SONAR包含HIPS但不限于HIPS则说的是智能HIPS。
SONAR包含程序行为监控并举、自动提取特征值、智能收集及分类等功能（此类功能亦被分类为主动防御技术）符合部分智能HIPS功能。SONAR是诺顿执行智能HIPS的必要组件。
未来杀毒软件的发展将会加入更多技术，主动防御技术已经被同类化、多元化，不再只限于主动防御刚刚出来时的传统意义了。
诺顿并没有把防火墙中的高级事件打造成一个纯粹的HIPS，而是把功能综合分类铺展并整合，再次以一个极佳的链式模式执行多层防御。

小林制药

回复 11楼 359244486 的帖子

不光是怪蜀黍，还吃小孩呐~！

说到SONAR到底是不是HIPS。我认为不是的，一个典型的HIPS所具备的特征是主动的过滤发生在系统上的一切动作，其动作是实际发生且被暂停了的，并且对不在规则中的行为进行拦截且警告。多少需要用户的介入和放行。诺顿的SONAR的基础是分类器，工作时通过检查被执行程序的代码确定操作属于哪一“类”，而操作未必实际发生，再根据类别进行赋值。所以说SONAR依然属于“复合式启发分析”的范畴，而与HIPS的关系比较远。当然，SONAR的复杂性远远不止于此，分类器的分类特征是基础，算法是机密，更深层面上的东西我想不反编是很难彻底弄清楚的。当然我不想试这个，怕犯法。
至于诺顿内置的应用程序控制，充其量只能算是“类HIPS”，毕竟在拦截点上还有综合实力上照比比较典型的HIPS如毛豆等等，存在相当大的差距。

klinxun

SONAR 使用启发式技术检查文件的可疑特征并将该文件分类为受感染的文件。SONAR 根据它在文件中发现的可疑特征的程度将威胁归类为高确定性威胁或低确定性威胁。Norton Internet Security 会自动删除高确定性威胁。Norton Internet Security 会通知您 SONAR 第一次检测到的低确定性威胁。然后，您可以允许或阻止可疑活动。如果您允许某个事件，Norton Internet Security 会将该事件详细信息添加到高级启发式引擎用于检测威胁的已批准事件列表中。Norton Internet Security 将事件详细信息放入该列表后，高级启发式引擎以后将会忽略该事件。SONAR 下次再检测到该事件时，Norton Internet Security 将不再发出通知。

这个……帮助文件里面的。