赛门铁克终端安全产品里所采用的SONAR技术,其全称是Symantec Online Network for Advanced Response(赛门铁克高级在线响应网络,这是赛门铁克全球性的主动防御网络)。SONAR是一种实时检测技术,其主要作用是在用户系统内部实时检测程序运行状况,主动防御恶意程序可能造成的安全威胁。
SONAR技术是与赛门铁克Insight技术互相配合的,有关Insight技术的详细资料读者可以阅读笔者之前写过的文章《也谈赛门铁克SEP12.1里的Insight防护技术》。
通俗来说,SONAR技术就是要检测文件在用户系统内部是否存在异常行为。当外部文件经过Insight信誉技术的检测进入用户系统后,将继续接受SONAR技术的实时检测。
SONAR会从三个方面对文件行为进行检测:
1、检测文件是否有违规行为。也就是检测文件本身是否进行了违规操作,比如是否更改系统可执行文件,是否更改系统重要配置(如:注册表),是否更改DNS域名服务器配置等。如果出现违反系统规定的操作行为,其将直接被阻挡;
2、检测文件是否有异常行为。比如Adobe Reader(或者Adobe Flash),如果他们被写入异常文件并在系统内部运行,那么就可以判断这个本应为正常的文件已经被恶意程序感染出现异常行为。可是由于系统某些功能需要这些文件予以支撑,所以无法将受感染的Adobe文件直接删除,但可以限制其异常操作行为的进行,也就是限制住恶意程序的运行;
3、智能启发式文件行为检测。对于无法提前预测的文件行为操作,SONAR技术会智能地对文件好、坏行为分别进行评分,累加这些好、坏行为分数后判断文件是否存在恶意行为,是否需要阻挡。比如,某些安全辅助软件,其也会对注册表、DNS等进行操作,但其整体行为更偏向于系统优化,那么就可以判断这是一个正常的文件。但恶意文件的主体行为是对系统进行破坏性操作,那么其整体分数就偏向于负向,由此可以判断其为恶意程序,进行阻挡。
在赛门铁克SEP12.1里,SONAR是与Insight结合在一起的,当SONAR发现某些程序有问题时,它本身会根据其在Insight里给到的信誉值动态调整,针对信誉好的文件,SONAR会调低对其监测的敏感度,避免误报;针对信誉不好的,敏感度则会予以提高。一旦信誉度低的文件做出了破坏性操作行为,则马上对其进行阻挡。与Insight的结合,更好的发挥了SONAR技术的主动防御性能。而且,极大降低了主动防御的误报率。据统计,SONAR误报率仅为百万分之四。在赛门铁克SEP12.1中小企业版和企业版里都包含Insight和SONAR技术。
作为赛门铁克的主动行为分析技术,SONAR是基于赛门铁克2005年收购的WholeSecurity公司基于活动的安全分析技术开发形成,目前已经演进到了第三代。第一代SONAR技术,可以在传统定义可用之前检测新出现的间谍软件和病毒。第二代SONAR技术,应用了实时在线智能和主动监控功能,可以在传统定义发布前检测并阻止新型威胁;第三代SONAR技术,在程序运行时对其进行检查,识别并阻止其恶意行为,即便是全新或者未知的恶意行为也不例外。
SONAR是赛门铁克SEP12里面的最后一道安全防线,通过行为检测技术,对全新及未知恶意威胁进行防护,随时随地防范恶意威胁的入侵。
网友评论