Sonar - защита на базата на поведението
SONAR - Това решение осигурява защита срещу заплахи, които се основава на поведението на заплахи, а не на тяхната "външен вид". SONAR е основният двигател на защита на базата на поведението на антивирусни решения на Symantec
метод Boot «Диск с» и широко разпространени уеб атаки тихо зарази потребители, които посещават популярни сайтове. Някои програми инсталират руткитове или въвеждат зловреден код в системните процеси. Модерен зловреден софтуер може лесно да се получи, вече не е достатъчно, за да се защитят крайните потребители, защита на файла.
Защо поведение на базата на защита?
Защита на базата на поведение е по-рентабилно в сравнение с евристики на файла, тъй като тя може едновременно да се оцени мащабни програми такива като опасен и не представляват заплаха.
Основните области на защита, което осигурява технология за поведенчески Symantec, са:
В някои случаи се извършва поведенчески защита?
Независимо от това, дали потребителят стартира приложението е умишлено злонамерено, или дали има опит за автоматично инсталиране, Сонар блоковете на програмата в реално време, след като е бил пуснат и / или се опитва да се въведе в управлението на процеси система (ДНЯО). Осигуряване на защита срещу Hydraq / Aurora, Stuxnet зловреден софтуер, като Tidsrev и ZeroAccess, той се утвърди като един от най-важните технологии за защита на крайните точки.
Как става това? Класификация двигател на базата на изкуствен интелект
Non-процес Въз заплаха защита
Съвременните заплахи не винаги са самостоятелни изпълними. Често те се опитват да избягат с помощта на инжекция в добре познатите текущи процеси, приложения или други компоненти, като по този начин се крие своите злонамерени дейности, под маската на доверени процеси (например, система), или доверен приложение. Като пример, когато злонамерено приложение, той може да се инжектира зловреден код процеси работи, като explorer.exe (процес десктоп черупка), iexplorer.exe (на браузъра Internet Explorer) или да се регистрирате вредни компоненти като разширения за такива приложения. SONAR предотвратява изпълнение на код, вписан в процеса на целевата чрез класифициране източник опитвате да направите инжекцията. Той също така класифицира, и ако е необходимо спира зловредния код е заредена в мишена или доверен процес.
Политика поведенчески блокиране
метод Зарежда «улична» работи, като използва уязвимост в браузъра плъгини като например Adobe Reader, Oracle Sun Java и Adobe Flash. След като уязвимостта е бил открит от подобен товар, той може да се използва уязвими заявление за собствените си цели, т.е. да стартира друго приложение. Създаване на някои поведенчески локаут политика, Symantec може да блокира злонамерени действия, като "Adobe Acrobat не създава други изпълними файлове", или "това DLL инжектиране е забранено в процеса на explorer.exe", като по този начин защитава системата. Това може да бъде описан като блокиране на поведение на базата на политики и наредби. Тези политики / определение отбор SONAR Symantec STAR участват автоматично в режим блокира и изиска контрол. Това предотвратява подозрително поведение на "добрите" приложения и автоматично защитени потребителя.
Изпълнение Подписи Поведенчески политика (BPE - поведенчески налагането на правилата)
Възможността за развитие в съответствие с непрекъснато променящите се заплахи е неразделна част от технологията на SONAR, така че защитата на продукт на Symantec има способността да се съсредоточи върху заплахата от още утре, в деня, още не е дошъл. Когато Symantec открива ново семейство на заплахи, като например нови руткитове, троянски коне FakeAV или други видове зловреден софтуер, това може да създаде нови поведенчески подписи за откриване на тези семейства на заплахи и да ги доставят заедно с актуализациите. Поради това, дружеството не е задължително да актуализирате кода на самия продукт. Този така наречен поведенчески подписи SONAR Изпълнение на политиката. Тези подписи могат да бъдат доста бързо да пиша, тестове, и да предаде на потребителя, и те дават Сонар "гъвкавост" и "приспособимост", което му позволява да даде отговор на някои класове възникващи заплахи, докато с много ниско ниво на неверни положителни резултати.
Е, как да работят BPE-подпис?
Нека да разгледаме приложение, което започна да се изпълни.
1) Той създава определени компоненти в указателя за TEMP
2) добавяне на вписването им в регистъра
3) Променя домакини-файл
4) не разполага с интерфейс
5) Отваря се дължи на "високо" портовете
Всеки един от тези поведения сам не може да бъде "лош", но като цяло се счита за лош поведенчески своя профил. STAR-анализатор създава правило, което гласи, че ако има определена последователност на поведението на изпълними файлове с определени характеристики Репутация Insight, продуктът трябва да се спре този процес и да върнете промените. SONAR е в състояние да създадете виртуално пясък около заразената, но тя е легитимна молба и по този начин може да се предотврати злонамерени действия на заразено приложение, което може да навреди на компютъра на потребителя. Това е напълно нова парадигма в областта на защита на крайните потребители. Тя работи чрез използване на данни, които показват, заявлението за действие, а не външния му вид.
Автоматично възстановяване на злонамерени файлове с помощта на пясък
поведение на базата на монитори за защита в реално време и магазини в приложения за пясък, процеси и събития, с цел, тъй като те се появяват. Промените в системата могат да бъдат отменени с цел предотвратяване на злонамерена активност.
Мониторинг на приложения и процеси в реално време
SONAR монитори и защитава повече от 1400 аспекти на всички стартирани приложения, DLL-файлове и процеси, които осигуряват защита в реално време, тъй като те се появят.
STAR разузнаване комуникационна шина
технология за защита на SONAR не работи само по себе си. Двигателят комуникира с други служби за сигурност с помощта на протокол STAR разузнаване Communication (STAR ICB). Двигателят Network IPS, е свързан с двигателя Symantec Sonar, и след това с двигател Вътрешна репутация (Insight Репутация) на. Това ни дава възможност да се осигури по-информативен и точен защита, която не може да осигури почти всеки продукт.
съдържание на Symantec