论文部分内容阅读
Symantec Endpoint Protection 12(SEP 12)是赛门铁克最新一代的终端安全防护产品,它集防病毒、反间谍软件、桌面防火墙、入侵防御、设备与应用程序控制以及网络准入等多种功能于一身。
SEP 12以Symantec Insight技术为后盾,把赛门铁克多年来在病毒防护方面的深厚积淀与其庞大的用户数据库和遍布全球的应急响应中心相结合,融合赛门铁克基于行为特征的SONAR技术,从而改变了传统的终端安全防护被动的局面,而代之以积极、主动、预防式的病毒防护。同时,针对虚拟化环境日益普及,SEP 12在原来的资源平衡功能的基础上,新增了虚拟映像文件例外、扫描结果缓存共享、虚拟机标记及离线虚拟机镜像扫描等多项对虚拟机构的保护功能,从而大大提升了SEP 12在虚拟化环境中的使用效率,并最终带领终端安全防护进入一个更高效、更智能的新时代。
聪明的Insight技术
赛门铁克首次在其终端安全产品中采用的Insight技术是一种基于信誉的病毒判定技术。它利用赛门铁克Insight在线信誉数据库,建立了用户、文件和网站之间的联系,可快速识别只在少数几个系统中存在的变异威胁,阻止还没有进入病毒特征库的恶意软件的攻击,从而彻底改变病毒防御的被动局面。
众所周知,传统的病毒查杀方式是安全厂商收集病毒样本或者用户主动报告样本,然后对病毒进行分析,提取病毒特征,放入病毒库并通知终端用户更新。这种方式的最大不足在于它是一种被动的方式,也就是说,无法查杀没有进入病毒特征库的病毒。而赛门铁克的Insight技术其基本原理是利用赛门铁克庞大的用户资源,通过分析软件使用情况(包括文件产生的时间、产生的地点、其流行程度、其行为特征等内容),给出一个信誉指标,据此来自动识别所有的新兴网络威胁,包括间谍软件、病毒与蠕虫。这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,而不需要对该文档进行扫描。值得一提的是,收集的方式是通过用户匿名提交软件使用情况背景信息,因此不涉及文档内容,且由用户决定是否提交,充分保障了用户的隐私。
这项技术的一个好处是减少对传统的病毒特征技术的依赖。黑客通常会通过不断更改恶意软件代码以试图逃过传统的基于特征的监测。而基于信誉的技术能够有效遏制黑客这一惯常伎俩。事实上,利用这一技术,黑客的变化手段越多,该文档越容易引起怀疑;另一个好处是可以提供所有关于可执行文档的信息。按照传统的做法,安全公司主要针对用户举报或者与其他安全研究机构交换获得的恶意软件信息采取防护措施;而基于信誉的安全技术恰恰相反,通过遍布全球的客户资源,能够拥有任何一个可执行文档的信誉评级资料。
“Insight技术非常适用于对非黑(病毒)非白(著名软件厂商发布的文件)的文件判定,如果这个文件大多出现在过去常中毒的电脑,那么这个文件是病毒的可能性就非常大。” 赛门铁克安全专家郑伟介绍说。
根据赛门铁克提供的数据,在这种新的以信誉为基础的安全模式启动后的第一天,赛门铁克就探测到50万种以前从来没有发现的病毒和新的威胁。目前,Insight技术已经有超过1.75亿客户端匿名提交软件使用背景信息,为超过25亿个文件自动得出高准确度的安全评级。而且,这项基于信誉的安全技术已被整合到诺顿2010全线产品中,包括诺顿网络安全特警2010以及诺顿防病毒2010,效果非常显著。
SONAR:
基于行为特征的判定
除了Insight技术之外,SEP 12采用了新一代基于行为特征的恶意软件判定技术—SONAR 3。SEP 12中的SONAR是第三代主动行为防护技术,可以在程序运行时对其进行检查,识别各种恶意行为,即便是新的和以前未知威胁的恶意行为也不例外。目前,SONAR 3可以识别并监控400多种不同应用程序的行为。
所谓基于行为特征的判定是根据文件的行为来判定该文件是否为恶意软件,这些行为包括病毒脱壳、更改浏览器首页、更改系统配置(如DNS文件、Host文件)、修改注册表等。这是一种积极主动、启发式的查毒方法,避免了无休止的病毒库更新,但并非是一种新兴技术。然而,这一技术在许多安全软件中实际应用效果并不理想,最根本的原因在于要准确判定某个软件的行为是否正当,其实是非常困难的。
此前,基于行为特征的病毒判定办法面临一个很大的挑战,就是误报率较高。实践中,为了提高准确性,不得不把敏感度设置得很低,也就是说,通常只有在有充分把握的时候才确认某个软件是恶意软件,这就常常导致漏报。而一旦敏感度设置很高,又会导致误报。正因为如此,基于行为特征的防护技术一直未获安全厂商大规模采用。在SEP 12中,实现了Insight和SONAR技术的结合。这比单独采用基于特征或者基于行为的恶意软件查杀办法更为快速、更为准确,从而使基于行为的技术真正变成了一项可以实际广泛应用的技术。
保护虚拟环境
随着计算性能的进一步提高,虚拟化技术得到迅速普及,并迅速成为一种主流的技术。而在虚拟化环境中,病毒的查杀有很多自身的特点。比如,在同一台电脑或者同一个网络中可能有许多基于同一模板生成的虚拟机的映像文件,这些虚拟机中绝大多数甚至全部文件都是一样,此时,如果还像传统的杀毒方式那样对每个虚拟机每个文件都进行检查,显然没有必要。而SEP 12的另一重大改进正是大大增强了对虚拟化环境的支持,根据虚拟化环境的特点对恶意代码的扫描过程进行优化设计和调度。
在SEP 12的前一个版本中曾引入一种名为“资源平衡(Resource Leveling)”的技术。这项技术的主要作用是,对同一物理机中的虚拟机的病毒查杀进行动态调度,以避免同时在多个虚拟机中进行病毒查杀,致使该物理机的整体性能大幅下降。而在SEP 12中,除了这项技术之外,还新增加了三项技术,即虚拟映像文件例外、虚拟客户端标记、扫描结果缓存共享,从而大大降低了SEP在虚拟环境中的资源消耗,提升了SEP的性能。
所谓虚拟映像文件例外就是针对上文所述的来自同一模板的虚拟机的情形。对于这些虚拟机,SEP 12将会排除虚拟机的基础映像文件,避免不必要的扫描。扫描结果缓存共享则是指对同一虚拟环境中已经扫描的文件的结果保存到一个缓存中,在其他虚拟机中如果遇到同样的文件仅需要查询缓存,不需要再扫描,这两项措施能减少扫描工作量90%,CPU的占用也只有原来的1/5,扫描速度能快5倍;虚拟客户端标记则主要是为虚拟机的管理和相关策略制定提供依据,它能区分出每一个具体的虚拟机到底是来自VMware、Citrix还是来自Microsoft的虚拟化平台,这样可以方便管理者进一步制定相对应的管理策略。
更有效、更简单
SEP 12除了新增Insight、SONAR以及虚拟化方面的功能之外,还增加了浏览器入侵防御和智能调度功能等,前者主要是扫描以浏览器漏洞为目标的工具,可以为这一用户最常用的工具提供最大程度的保护;而后者主要是让计算机在空闲的时候来执行非关键的安全防护工作,从而尽可能减少对用户正常工作的干扰。同时,SEP 12对SEP 11已有的很多功能也有了很大增强,比如对数据库进行了优化,提高了响应速度,从而使得中央控制台的性能有了很大提高。另外,客户端部署也更为简单,改进了向导。值得一提的是,SEP 12还能与Symantec Workflow相集成,从而实现流程和策略的自动执行。
谈到最新版的SEP,赛门铁克首席信息安全技术顾问林育民用三个字来形容:云、准、快。这里“云”指的是针对虚拟化环境而设计;“准”是指SEP 12首次引入Insight和SONAR 3技术,可精确判定病毒或者恶意软件,有效阻绝目标性攻击;“快”则是指整个软件病毒查杀过程更快,正是由于SEP 12采用了一系列有效的技术大大降低了对内存和CPU等资源消耗,提升了扫描速度,同时还增加了智能调度,从而大大改善了用户体验。
据林育民介绍,与此前的版本相比,SEP 12的性能平均提升了70
SEP 12以Symantec Insight技术为后盾,把赛门铁克多年来在病毒防护方面的深厚积淀与其庞大的用户数据库和遍布全球的应急响应中心相结合,融合赛门铁克基于行为特征的SONAR技术,从而改变了传统的终端安全防护被动的局面,而代之以积极、主动、预防式的病毒防护。同时,针对虚拟化环境日益普及,SEP 12在原来的资源平衡功能的基础上,新增了虚拟映像文件例外、扫描结果缓存共享、虚拟机标记及离线虚拟机镜像扫描等多项对虚拟机构的保护功能,从而大大提升了SEP 12在虚拟化环境中的使用效率,并最终带领终端安全防护进入一个更高效、更智能的新时代。
聪明的Insight技术
赛门铁克首次在其终端安全产品中采用的Insight技术是一种基于信誉的病毒判定技术。它利用赛门铁克Insight在线信誉数据库,建立了用户、文件和网站之间的联系,可快速识别只在少数几个系统中存在的变异威胁,阻止还没有进入病毒特征库的恶意软件的攻击,从而彻底改变病毒防御的被动局面。
众所周知,传统的病毒查杀方式是安全厂商收集病毒样本或者用户主动报告样本,然后对病毒进行分析,提取病毒特征,放入病毒库并通知终端用户更新。这种方式的最大不足在于它是一种被动的方式,也就是说,无法查杀没有进入病毒特征库的病毒。而赛门铁克的Insight技术其基本原理是利用赛门铁克庞大的用户资源,通过分析软件使用情况(包括文件产生的时间、产生的地点、其流行程度、其行为特征等内容),给出一个信誉指标,据此来自动识别所有的新兴网络威胁,包括间谍软件、病毒与蠕虫。这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,而不需要对该文档进行扫描。值得一提的是,收集的方式是通过用户匿名提交软件使用情况背景信息,因此不涉及文档内容,且由用户决定是否提交,充分保障了用户的隐私。
这项技术的一个好处是减少对传统的病毒特征技术的依赖。黑客通常会通过不断更改恶意软件代码以试图逃过传统的基于特征的监测。而基于信誉的技术能够有效遏制黑客这一惯常伎俩。事实上,利用这一技术,黑客的变化手段越多,该文档越容易引起怀疑;另一个好处是可以提供所有关于可执行文档的信息。按照传统的做法,安全公司主要针对用户举报或者与其他安全研究机构交换获得的恶意软件信息采取防护措施;而基于信誉的安全技术恰恰相反,通过遍布全球的客户资源,能够拥有任何一个可执行文档的信誉评级资料。
“Insight技术非常适用于对非黑(病毒)非白(著名软件厂商发布的文件)的文件判定,如果这个文件大多出现在过去常中毒的电脑,那么这个文件是病毒的可能性就非常大。” 赛门铁克安全专家郑伟介绍说。
根据赛门铁克提供的数据,在这种新的以信誉为基础的安全模式启动后的第一天,赛门铁克就探测到50万种以前从来没有发现的病毒和新的威胁。目前,Insight技术已经有超过1.75亿客户端匿名提交软件使用背景信息,为超过25亿个文件自动得出高准确度的安全评级。而且,这项基于信誉的安全技术已被整合到诺顿2010全线产品中,包括诺顿网络安全特警2010以及诺顿防病毒2010,效果非常显著。
SONAR:
基于行为特征的判定
除了Insight技术之外,SEP 12采用了新一代基于行为特征的恶意软件判定技术—SONAR 3。SEP 12中的SONAR是第三代主动行为防护技术,可以在程序运行时对其进行检查,识别各种恶意行为,即便是新的和以前未知威胁的恶意行为也不例外。目前,SONAR 3可以识别并监控400多种不同应用程序的行为。
所谓基于行为特征的判定是根据文件的行为来判定该文件是否为恶意软件,这些行为包括病毒脱壳、更改浏览器首页、更改系统配置(如DNS文件、Host文件)、修改注册表等。这是一种积极主动、启发式的查毒方法,避免了无休止的病毒库更新,但并非是一种新兴技术。然而,这一技术在许多安全软件中实际应用效果并不理想,最根本的原因在于要准确判定某个软件的行为是否正当,其实是非常困难的。
此前,基于行为特征的病毒判定办法面临一个很大的挑战,就是误报率较高。实践中,为了提高准确性,不得不把敏感度设置得很低,也就是说,通常只有在有充分把握的时候才确认某个软件是恶意软件,这就常常导致漏报。而一旦敏感度设置很高,又会导致误报。正因为如此,基于行为特征的防护技术一直未获安全厂商大规模采用。在SEP 12中,实现了Insight和SONAR技术的结合。这比单独采用基于特征或者基于行为的恶意软件查杀办法更为快速、更为准确,从而使基于行为的技术真正变成了一项可以实际广泛应用的技术。
保护虚拟环境
随着计算性能的进一步提高,虚拟化技术得到迅速普及,并迅速成为一种主流的技术。而在虚拟化环境中,病毒的查杀有很多自身的特点。比如,在同一台电脑或者同一个网络中可能有许多基于同一模板生成的虚拟机的映像文件,这些虚拟机中绝大多数甚至全部文件都是一样,此时,如果还像传统的杀毒方式那样对每个虚拟机每个文件都进行检查,显然没有必要。而SEP 12的另一重大改进正是大大增强了对虚拟化环境的支持,根据虚拟化环境的特点对恶意代码的扫描过程进行优化设计和调度。
在SEP 12的前一个版本中曾引入一种名为“资源平衡(Resource Leveling)”的技术。这项技术的主要作用是,对同一物理机中的虚拟机的病毒查杀进行动态调度,以避免同时在多个虚拟机中进行病毒查杀,致使该物理机的整体性能大幅下降。而在SEP 12中,除了这项技术之外,还新增加了三项技术,即虚拟映像文件例外、虚拟客户端标记、扫描结果缓存共享,从而大大降低了SEP在虚拟环境中的资源消耗,提升了SEP的性能。
所谓虚拟映像文件例外就是针对上文所述的来自同一模板的虚拟机的情形。对于这些虚拟机,SEP 12将会排除虚拟机的基础映像文件,避免不必要的扫描。扫描结果缓存共享则是指对同一虚拟环境中已经扫描的文件的结果保存到一个缓存中,在其他虚拟机中如果遇到同样的文件仅需要查询缓存,不需要再扫描,这两项措施能减少扫描工作量90%,CPU的占用也只有原来的1/5,扫描速度能快5倍;虚拟客户端标记则主要是为虚拟机的管理和相关策略制定提供依据,它能区分出每一个具体的虚拟机到底是来自VMware、Citrix还是来自Microsoft的虚拟化平台,这样可以方便管理者进一步制定相对应的管理策略。
更有效、更简单
SEP 12除了新增Insight、SONAR以及虚拟化方面的功能之外,还增加了浏览器入侵防御和智能调度功能等,前者主要是扫描以浏览器漏洞为目标的工具,可以为这一用户最常用的工具提供最大程度的保护;而后者主要是让计算机在空闲的时候来执行非关键的安全防护工作,从而尽可能减少对用户正常工作的干扰。同时,SEP 12对SEP 11已有的很多功能也有了很大增强,比如对数据库进行了优化,提高了响应速度,从而使得中央控制台的性能有了很大提高。另外,客户端部署也更为简单,改进了向导。值得一提的是,SEP 12还能与Symantec Workflow相集成,从而实现流程和策略的自动执行。
谈到最新版的SEP,赛门铁克首席信息安全技术顾问林育民用三个字来形容:云、准、快。这里“云”指的是针对虚拟化环境而设计;“准”是指SEP 12首次引入Insight和SONAR 3技术,可精确判定病毒或者恶意软件,有效阻绝目标性攻击;“快”则是指整个软件病毒查杀过程更快,正是由于SEP 12采用了一系列有效的技术大大降低了对内存和CPU等资源消耗,提升了扫描速度,同时还增加了智能调度,从而大大改善了用户体验。
据林育民介绍,与此前的版本相比,SEP 12的性能平均提升了70