【教學】【討論】免疫防護 HIPS與SONAR

[Shader]

免疫防護大致上可區分為啟發式與行為攔截工具

1.啟發式:即虛擬主機下去RUN 用以觸發惡意程式,簡單來說就是卡巴的heuristic emulator與諾頓的Bloodhound !兩家大廠都有此技術,只是名稱不同

2.行為攔截工具: 用在應用程式執行時分析其行為，並封鎖任何危險活動的程式。 不同於在模擬模式中追蹤可疑動作的(動態) 啟發式分析器，行為攔截工具乃是在"實際的環境中作業"。

第一代行為攔截工具並不太成熟。 每當偵測到潛在危險的動作時，使用者便收到提示，詢問是否封鎖該動作。
新一代的行為攔截工具分析的對象是一連串的作業，而非個別的動作。 這代表在判定應用程式行為是否具危險性時，根據的是更加純熟的分析。 如此有助於大幅減少系統提示的出現次數，並增加偵測惡意軟體的可靠度。
從卡巴的官方資料看來,卡巴對這項技術似乎也傾向不要"過於敏感"。

不同於現代防毒程式普遍使用的啟發式分析器，行為攔截工具較為少見。 包括於卡巴斯基實驗室中的 ProactiveDefense Module (免疫防護模組) 便是有效的新世代行為攔截工具。

而同樣技術對應到諾頓便是聲納了。

SONAR是一種行為偵測的技術，其可以在建立病毒定義檔及間諜軟體偵測定義檔前，阻止惡意程式碼侵入。
這些新興且未知的惡意程式碼會透過木馬程式、蠕蟲、大眾郵件病毒、間諜軟體或者下載軟體病毒的形式進行攻擊與破壞。當許多產品僅使用一組有限的啟發式法則時，SONAR可以透過廣泛且異質的應用行為數據，大幅提升其防護能力，且明顯地將誤判率降至最低。

我認為為聲納可以被定義為: 不能歸類為HIPS 卻又有著HIPS效果的工具，而最終目的還是在實機中對惡意程式行為攔截。

而在諾頓網路安全大師2007之後就可透過更新方式支援SONAR技術，2008更是內建其中。

以上是HIPS與SONAR的介紹