去年2010版大幅改版的Norton Antivirus(NAV)與Norton Internet Security(NIS),相較之下,最近發表的2011版的主要介面仍延續的雙視窗翻轉式(Flip Screen)切換設計,部分功能按鈕從視窗左側集中至右上端;接下來是電腦、網路、網頁等三大防護項目的狀態與開關(NAV未內建Norton網頁防護),下半部則挪出空間,整合威脅分布圖、家長防護網、線上備份與網頁安全等內建或外掛功能(NAV只有威脅分布圖和線上備份)。

新版Norton防毒的特色在於繼續改善與擴充檔案信譽評等,以及系統效能鑑識功能(統稱為Norton Insight)。同時,所整合的應用程式行為特徵防護SONAR技術(Symantec Online Network for Advanced Response),也已經發展到第三代,稱為SONAR 3,相較於之前,現在已經做到可透過定義檔(Definition-based)的方式來提升偵測效率。

原廠表示,前版的SONAR有時需更新引擎本身,才能應付新的行為攻擊特徵,SONAR 3現在只要更新特徵碼或SONAR的定義檔,就可以及時防禦。

強化檔案與網路信譽防護,檔案的下載鑑識支援更多應用程式

應用程式信譽分級(Application Rating)、雲端網路鑑識(Insight Protection)的即時分析狀態統計,是Norton防毒前幾版提供的功能,最新版也將信譽評等的工作進一步整合到Norton的掃描功能內,成為所謂的信譽掃描,因此使用者不只能執行傳統快速、系統與自訂的病毒掃描作業,還能隨時了解自己電腦是否和其他電腦一樣值得信賴。

執行信譽掃描後,使用者可以要求Norton檢查整臺電腦的磁碟、資料夾與檔案,清查出本機各應用程式相關檔案的可靠度與安全性,並分別以本機電腦與整個Norton社群(使用Norton安全產品的用戶)為比較對象,同時用比例來統計使用者電腦內重要檔案的信任等級、存在時間和普遍程度;若要檢視細節,只要用滑鼠點入該檔名稱,即可出現檔案鑑識視窗以便瀏覽。

在Norton用來判斷電腦效能變慢原因的系統鑑識(System Insight)功能當中,上一版已可透過圖表,標示出電腦每天經歷的特殊事件與發生次數,像是軟體安裝、檔案下載、惡意程式偵測與快速掃描等動作,而2011版增列效能警示出現的次數。

至於NIS以上高階版本所特有的功能,2011版在網頁防護上,增加了攔截惡意網頁的功能,如果瀏覽器連至不安全的網頁,NIS會跳出警示視窗;而身分安全防護、提升網頁瀏覽安全的防網釣與搜尋引擎整合,以及呈現下載檔案是否有足夠安全信譽的下載鑑識(Download Insight),2011版也繼續提供。

下載鑑識,是在2010版開始支援的功能,到了新版不只針對IE和Firefox,也擴大到Chrome、Opera、Safari,另外也包括Windows Live、Yahoo、QQ等平臺即時通訊軟體、加上Outlook、Outlook Express、Windows Mail、Thunderbird等電子郵件收發軟體,以及檔案下載軟體FileZilla等。

提供4階式防護流程

根據原廠的介紹,目前Norton安全防護的偵測流程也明顯有別於傳統防毒軟體的做法,以2011版來說,Norton防毒分為4個階段,依序為網路層、信譽服務層、檔案層與行為層。

網路層包括可辨識網路通訊協定的IPS,以及瀏覽器層級的防護;信譽服務層是基於Symantec建構的系統,來大量收集眾多使用者對特定應用程式的安全評價,再藉以判定來源網域與檔案是否包含惡意程式;檔案層則是傳統的防毒特徵比對,包含Norton的防毒引擎、自動防護,以及名為Malheur的Bloodhound啟發式行為特徵防護;如果前面三關如果都沒有發現問題,等到這些檔案實際執行時,會由Norton防毒行為層所包含的SONAR 3和行為特徵比對,來判斷是否有問題。

以網路層的Norton IPS來說,原廠認為若能識別出威脅所利用的網路協定,就可以進一步縮小特徵比對的範圍;另外假如可以透過封鎖多種網路與應用程式弱點遭濫用的共通模式,就不需要執行無謂的比對,效能也可以因此節省下來。此外,NIPS 也分析網路流量跟封包是否內含漏洞利用攻擊,同時若偵測到不正常的系統API呼叫,Norton會即時中止。

瀏覽器的防護上,Norton會檢查瀏覽器執行的Script,以及下載有關的API呼叫,同時察看是否有漏洞利用攻擊的狀況,以便更全面地攔截偷渡式下載。原廠強調他們並非使用沙箱(Sandbox)技術,來隔離應用程式的執行或模擬執行,而是等到這些程式碼呼叫系統API時去攔截存取行為,以此來阻擋經過變形、加密的惡意程式碼,以及螢幕擷取、鍵盤側錄。

而信譽服務上,Symantec憑藉的是收集眾多使用該公司防毒產品的不同應用程式使用模式,像是根據很少中毒與常中毒的使用者來收集,並建立信譽清單,以及參考檔案屬性,如是否包含數位簽章、存在電腦的時間、版本、存有該檔案的使用者數量等因素,作為判斷的標準。這對於那些帶有變種惡意程式檔案來說,因為實際在所有使用者電腦存在的數量少,所以系統能大膽判定有可疑成份,但原廠也不諱言,這項功能目前對於企業自行開發的應用程式、常用軟體的測試版,可能會誤判。

對於病毒防護,Norton防毒現在的做法是設法將定義檔變小,在記憶體只放索引,約占20MB,其他部分則存放磁碟。而上述所謂的Melheur行為檢測,是Norton對於檔案防護的啟發式偵測技術,它是用靜態的分析方式來檢查檔案的屬性,例如跟相關聯的應用程式,以及是否會產生檔案等。

最後,在應用程式與檔案執行行為的防護,2011版Norton防毒會使用SONAR 3來防護──根據原廠所寫成的特徵模式定義,來監控400多種存取行為指標,如系統登錄、檔案系統,只要識別出異常的系統API執行動作,就予以攔截。

 

Norton防毒2010和2011的介面,都支援Flip翻頁特效,使用者按下效能或主介面按鈕,就可以直接以這種方式切換。

 

信譽掃描是2011版Norton防毒新增加的功能,使用者可以透過與Norton安全社群資訊的比較,來察看電腦中可能有安全性疑慮的檔案。

 

新版在系統鑑識所呈現的事件提示,除了軟體安裝、可執行檔的檔案下載等行為的呈現與統計,也增加效能警示的次數統計。

 


產品資訊
建議售價●單機版1,680元,Norton Antivirus 72011單機版為990元 原廠●Symantec 網址●www.symantec.com.tw 電話●(02)8761-5800 作業系統需求●Windows XP SP2(32)/Vista/ Windows 7 處理器需求●300 MHz/1GHz 記憶體需求●256 MB 硬碟需求●300 MB    功能●防毒、防間諜程式、網頁防護、垃圾郵件過濾、網頁身分防護、個人防火牆、家長監控

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容