Symantec Endpoint Protection 12

来源 :计算机世界 | 被引量 : 0次 | 上传用户:marsxwj
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  Symantec Endpoint Protection 12(SEP 12)是赛门铁克最新一代的终端安全防护产品,它集防病毒、反间谍软件、桌面防火墙、入侵防御、设备与应用程序控制以及网络准入等多种功能于一身。
  
  SEP 12以Symantec Insight技术为后盾,把赛门铁克多年来在病毒防护方面的深厚积淀与其庞大的用户数据库和遍布全球的应急响应中心相结合,融合赛门铁克基于行为特征的SONAR技术,从而改变了传统的终端安全防护被动的局面,而代之以积极、主动、预防式的病毒防护。同时,针对虚拟化环境日益普及,SEP 12在原来的资源平衡功能的基础上,新增了虚拟映像文件例外、扫描结果缓存共享、虚拟机标记及离线虚拟机镜像扫描等多项对虚拟机构的保护功能,从而大大提升了SEP 12在虚拟化环境中的使用效率,并最终带领终端安全防护进入一个更高效、更智能的新时代。
  
  聪明的Insight技术
  
  赛门铁克首次在其终端安全产品中采用的Insight技术是一种基于信誉的病毒判定技术。它利用赛门铁克Insight在线信誉数据库,建立了用户、文件和网站之间的联系,可快速识别只在少数几个系统中存在的变异威胁,阻止还没有进入病毒特征库的恶意软件的攻击,从而彻底改变病毒防御的被动局面。
  众所周知,传统的病毒查杀方式是安全厂商收集病毒样本或者用户主动报告样本,然后对病毒进行分析,提取病毒特征,放入病毒库并通知终端用户更新。这种方式的最大不足在于它是一种被动的方式,也就是说,无法查杀没有进入病毒特征库的病毒。而赛门铁克的Insight技术其基本原理是利用赛门铁克庞大的用户资源,通过分析软件使用情况(包括文件产生的时间、产生的地点、其流行程度、其行为特征等内容),给出一个信誉指标,据此来自动识别所有的新兴网络威胁,包括间谍软件、病毒与蠕虫。这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,而不需要对该文档进行扫描。值得一提的是,收集的方式是通过用户匿名提交软件使用情况背景信息,因此不涉及文档内容,且由用户决定是否提交,充分保障了用户的隐私。
  这项技术的一个好处是减少对传统的病毒特征技术的依赖。黑客通常会通过不断更改恶意软件代码以试图逃过传统的基于特征的监测。而基于信誉的技术能够有效遏制黑客这一惯常伎俩。事实上,利用这一技术,黑客的变化手段越多,该文档越容易引起怀疑;另一个好处是可以提供所有关于可执行文档的信息。按照传统的做法,安全公司主要针对用户举报或者与其他安全研究机构交换获得的恶意软件信息采取防护措施;而基于信誉的安全技术恰恰相反,通过遍布全球的客户资源,能够拥有任何一个可执行文档的信誉评级资料。
  “Insight技术非常适用于对非黑(病毒)非白(著名软件厂商发布的文件)的文件判定,如果这个文件大多出现在过去常中毒的电脑,那么这个文件是病毒的可能性就非常大。” 赛门铁克安全专家郑伟介绍说。
  根据赛门铁克提供的数据,在这种新的以信誉为基础的安全模式启动后的第一天,赛门铁克就探测到50万种以前从来没有发现的病毒和新的威胁。目前,Insight技术已经有超过1.75亿客户端匿名提交软件使用背景信息,为超过25亿个文件自动得出高准确度的安全评级。而且,这项基于信誉的安全技术已被整合到诺顿2010全线产品中,包括诺顿网络安全特警2010以及诺顿防病毒2010,效果非常显著。
  
  SONAR:
  基于行为特征的判定
  
  除了Insight技术之外,SEP 12采用了新一代基于行为特征的恶意软件判定技术—SONAR 3。SEP 12中的SONAR是第三代主动行为防护技术,可以在程序运行时对其进行检查,识别各种恶意行为,即便是新的和以前未知威胁的恶意行为也不例外。目前,SONAR 3可以识别并监控400多种不同应用程序的行为。
  所谓基于行为特征的判定是根据文件的行为来判定该文件是否为恶意软件,这些行为包括病毒脱壳、更改浏览器首页、更改系统配置(如DNS文件、Host文件)、修改注册表等。这是一种积极主动、启发式的查毒方法,避免了无休止的病毒库更新,但并非是一种新兴技术。然而,这一技术在许多安全软件中实际应用效果并不理想,最根本的原因在于要准确判定某个软件的行为是否正当,其实是非常困难的。
  此前,基于行为特征的病毒判定办法面临一个很大的挑战,就是误报率较高。实践中,为了提高准确性,不得不把敏感度设置得很低,也就是说,通常只有在有充分把握的时候才确认某个软件是恶意软件,这就常常导致漏报。而一旦敏感度设置很高,又会导致误报。正因为如此,基于行为特征的防护技术一直未获安全厂商大规模采用。在SEP 12中,实现了Insight和SONAR技术的结合。这比单独采用基于特征或者基于行为的恶意软件查杀办法更为快速、更为准确,从而使基于行为的技术真正变成了一项可以实际广泛应用的技术。
  
  保护虚拟环境
  
  随着计算性能的进一步提高,虚拟化技术得到迅速普及,并迅速成为一种主流的技术。而在虚拟化环境中,病毒的查杀有很多自身的特点。比如,在同一台电脑或者同一个网络中可能有许多基于同一模板生成的虚拟机的映像文件,这些虚拟机中绝大多数甚至全部文件都是一样,此时,如果还像传统的杀毒方式那样对每个虚拟机每个文件都进行检查,显然没有必要。而SEP 12的另一重大改进正是大大增强了对虚拟化环境的支持,根据虚拟化环境的特点对恶意代码的扫描过程进行优化设计和调度。
  在SEP 12的前一个版本中曾引入一种名为“资源平衡(Resource Leveling)”的技术。这项技术的主要作用是,对同一物理机中的虚拟机的病毒查杀进行动态调度,以避免同时在多个虚拟机中进行病毒查杀,致使该物理机的整体性能大幅下降。而在SEP 12中,除了这项技术之外,还新增加了三项技术,即虚拟映像文件例外、虚拟客户端标记、扫描结果缓存共享,从而大大降低了SEP在虚拟环境中的资源消耗,提升了SEP的性能。
  所谓虚拟映像文件例外就是针对上文所述的来自同一模板的虚拟机的情形。对于这些虚拟机,SEP 12将会排除虚拟机的基础映像文件,避免不必要的扫描。扫描结果缓存共享则是指对同一虚拟环境中已经扫描的文件的结果保存到一个缓存中,在其他虚拟机中如果遇到同样的文件仅需要查询缓存,不需要再扫描,这两项措施能减少扫描工作量90%,CPU的占用也只有原来的1/5,扫描速度能快5倍;虚拟客户端标记则主要是为虚拟机的管理和相关策略制定提供依据,它能区分出每一个具体的虚拟机到底是来自VMware、Citrix还是来自Microsoft的虚拟化平台,这样可以方便管理者进一步制定相对应的管理策略。
  
  更有效、更简单
  
  SEP 12除了新增Insight、SONAR以及虚拟化方面的功能之外,还增加了浏览器入侵防御和智能调度功能等,前者主要是扫描以浏览器漏洞为目标的工具,可以为这一用户最常用的工具提供最大程度的保护;而后者主要是让计算机在空闲的时候来执行非关键的安全防护工作,从而尽可能减少对用户正常工作的干扰。同时,SEP 12对SEP 11已有的很多功能也有了很大增强,比如对数据库进行了优化,提高了响应速度,从而使得中央控制台的性能有了很大提高。另外,客户端部署也更为简单,改进了向导。值得一提的是,SEP 12还能与Symantec Workflow相集成,从而实现流程和策略的自动执行。
  谈到最新版的SEP,赛门铁克首席信息安全技术顾问林育民用三个字来形容:云、准、快。这里“云”指的是针对虚拟化环境而设计;“准”是指SEP 12首次引入Insight和SONAR 3技术,可精确判定病毒或者恶意软件,有效阻绝目标性攻击;“快”则是指整个软件病毒查杀过程更快,正是由于SEP 12采用了一系列有效的技术大大降低了对内存和CPU等资源消耗,提升了扫描速度,同时还增加了智能调度,从而大大改善了用户体验。
  据林育民介绍,与此前的版本相比,SEP 12的性能平均提升了70
其他文献
苹果的iOS系统在平板电脑市场具有明显的优先优势,而Android是除苹果之外,惟一市场份额达到两位数的操作系统。在智能手机领域,虽然还有其他不可小觑的竞争对手,例如黑莓和Windows。但据comScore的最新调查显示,黑莓手机的市场份额在一路下滑——comScore于2011年4月公布的报告显示,苹果已经超越了RIM,而微软还没有攻下太多的地盘。  使用谷歌Android系统的移动终端设备成
联想2010财年第三季度营收58亿美元  本报讯 2月17日,联想集团公布截至2010年12月31日止第三季度业绩。数据显示,第三季度销售额为58亿美元,同比增长22%。毛利为6.48亿美元,同比增长22%,季毛利率为11.2%,净利9965美元,同比增长25%。第三季度的经营溢利为1.27亿美元(不包括重组费用200万美元),年比年增长28%。除税前溢利为1.21亿美元,同比上升29%。股东应占
本报讯作为中国三星成立16周年之际举行的系列活动之一,近日,三星集团副会长兼大中华区三星集团总裁姜皓文来到河北省玉田县林南仓镇二村参加了“一心一村”支农活动。据了解,中国三星旗下的43家分公司将在全国展开支农、环保等一系列公益活动以庆祝集团成立16周年。
刚刚在2010年财报中宣布,将以企业业务为四大业务之一、战略性加大在企业市场投入的华为,迅速打出了产品领域的第一记重拳——5月5日,华为隆重发布其第三代企业路由器AR G3系列的8款产品。该系列产品面向中小企业和大型企业的分支机构,将以极具创新的功能特性,帮助企业应对ICT融合时代的发展需求。    五大功能集成    AR G3系列产品基于最新的多核、无阻塞交换、多业务并发处理的第三代企业路由器
作为一个机器人大国,日本无论在技术还是应用方面都遥遥领先,其在工业机器人和服务性机器人生产和制造方面都占据全球主导地位,有数据显示,截至2009年,全球投入使用的机器人有38%在日本。  除了数量外,日本机器人的创意应用可谓前瞻新颖,相扑机器人、马拉松机器人、清扫机器人、陪护机器人、做寿司的机器人、“发怒”机器人甚至是“伴侣”机器人,几乎所有可以想到的机器人应用,日本都在做研究。  但此次的日本大
云计算为传统的静态数据中心模式提供了一种动态的替代方案,使企业能够迅速、有效地开发和启动产品和服务。为了帮助企业充分利用这种模式,英特尔制定了一个未来的云计算愿景,包括“互通”、“自动化”与“客户端自适应”三大要素,分别强调了云内部及云与云之间的互操作和数据共享、云计算运行中的自动化管理以及云与终端设备的协作互动。  为了推动云计算愿景的实现,交付开放、具互操作性且符合行业标准的解决方案是至关重要
产业追踪  聚合存储方案更适合大型医院    数据的集中管理与备份成为医疗信息管理的关键任务,宝德推聚合存储方案。  对医疗行业来说,患者的各种数据是现在及未来医疗行业充分服务于病人的基础之一,对各种电子化医疗数据的保存和分析应用,已成为未来医院发展的关键因素。数据的集中管理与备份成为医疗信息管理的关键任务。  大型医院通常由总院和分院构成。总院的系统包括:HIS、PACS、中间件系统、应急系统、
Attachmate东亚区总经理张先民博士是IT界的一位老兵,有着多年美国求学和工作的经历,在中国内地也有18年的工作经历,这让张博士对中美两国的IT产业和技术应用都有着较深的认识和理解。  上周,我就中美两国云计算领域的差异问题采访张博士时,他提到了“蛙跳”的概念。他认为中美两国在云计算领域甚至是整个IT领域的差距在4~5年之间。中国在发展自己的云计算产业时可以学习借鉴美国已经成功的经验,吸取失
甲骨文于上周发表声明,称将停止一切围绕英特尔Itanium(安腾)芯片的软件开发。此举让英特尔及其合作伙伴惠普大吃一惊。  目前正在加强硬件竞争的甲骨文表示,此决定是“在与英特尔高管举行多次对话后”做出的,显然“他们的战略重点放在x86微处理器上,安腾已走到生命的尽头”。  不过,多年来英特尔通过与惠普合作,在安腾处理器上投入了大量的资源。英特尔称:“鉴于甲骨文最近发表的声明,英特尔希望借此机会重
云计算是IT产业的大趋势,这一点已经成为人们的共识。不过,要让用户现在就向云世界迁移还面临相当多的问题,其中对安全方面的担心是云计算落地的最大阻力之一。那么,我们应该如何看待云计算对信息安全的挑战,如何着手保证云计算的安全呢?    “云”化安全产品  更可靠    “我认为,云计算时代的到来有助于改善信息安全的状况,更利于企业保证信息的安全。” 赛门铁克首席信息安全技术顾问林育民说。  林育民认