Amber 安全功能、性能测试

Amber 安全新功能展示 11 配置设置
配置设置
BASH (SONAR)
使用信誉度技术的模块 ■ BASH (SONAR)
12 Amber 安全新功能展示 BASH 行为分析与启发式系统
1. 当 SONAR 对一个运行进程进行侦测打分时，它会去进行信誉度查询同时备 份自身的侦测分数记录 。当信誉度分数足够安全 >= high confidence good (>= 20)，BASH 会丢弃此次侦测。
8 Amber 安全新功能展示 架构
架构
信誉度级别
Amber 安全新功能展示 9 信誉度级别
10 Amber 安全新功能展示 恶意文件敏感度/下载防护级别: 通过信誉度侦测
恶意文件敏感度/下载防护级别: 通过信誉度侦测
安装 信誉度组件 ■ 信誉度组件与产品一起被安装 ■ 安装界面可以进行信誉的提交的设置
Amber 安全新功能展示 7 IRON ---- 网络信息检索
6. 文件的认知时间
IRON ---- 网络信息检索 ■ 基础的信誉值组件和云查询系统。IRON 结合通过 Mr. Clean 进行云查询得到的
信誉值和威胁侦测得到的信誉值从而提供一个最终的信誉值。同时 IRON 还结合 Symantec 白名单和管理员提供的程序例外。 ■ 许多引擎都需要使用信誉值数据 ■ 所有的引擎需要以下的功能： 1. 进行云查询 2. 在本地存储信誉值数据 3. 定义更新数据的时间 4. 定义如何根据最初的受信级别来使用信誉值数据 5. 如果可能调整实时的算法 ■ IRON 提供了所有相关引擎 Mr. Clean 的需求并对其进行管理
根据 FAR 12.212 中的定义，授权许可的软件和文档被视为“商业计算机软件”，受 FAR Section 52.227-19“Commercial Computer Software - Restricted Rights”（商业计算机软 件受限权利）和 DFARS 227.7202“Rights in Commercial Computer Software or Commercial Computer Software Documentation”（商业计算机软件或商业计算机软件文档权利）中的 适用规定，以及所有后续法规中规定的权利的制约。美国政府仅可根据本协议的条款对授权 许可的软件和文档进行使用、修改、发布复制、执行、显示或披露。
2. 下载防护 3. 智能扫描
BASH 行为分析与启发式系统 提供了以下 SEP 功能的基本技术 ■ SONAR 启发式侦测
1. SONAR = Symantec Online Network for Advanced Response 2. 赛门铁克在线网络安全响应 ■ 可疑行为侦测 ■ 内部行为策略实施 ■ 系统更改侦测 ■ 主机文件与 DNS 更改侦测 ■ 防篡改侦测
IRON --- 主要的信誉技术组件 ■ IRON 数据库
数据库大小一般为 4-6 M。当机器里安装的软件比较多时会增加到 20 M ■ IRON 内容
周期性的通过 LiveUpdate 更新 ■ 在安装时已经将 IRON 数据库连同经过验证的文件信誉度信息一起安装，文件信
誉的预装标准： 1. 具有良好的信誉 (>= 100) 2. TTL 值为永久的 3. 流行度的最低值: 925,000 (流行级别为 6) 安装文件大约有 15000 个入口点并将大小限制为 1 MB 内从而不会对整个安装包有 显著的影响。
可疑行为侦测 ■ 对受信进程同样提供防护
■ 受信任的进程不会被 Sonar 判定。这种进程有可能被威胁执行 dll 注入操作 ，可疑行为侦测能够添补这种缺陷并对安全文件的不安全行为执行进行阻止
系统更改侦测 ■ 对本地主机文件和 DNS 设置更改进行侦测 ■ 通知用户更改发生，并能够对更改行为的阻止或忽略操作进行配置
SONAR 启发式技术 ■ SONAR 检测应用程序的许多方面并对它们的行为进行侦测 ■ 判断被分成两类
■ 高信任级别: 应用程序的受信度高，恶意程度不高，误报率很低。 ■ 低信任级别: 应用程序的受信度低，恶意程度高， 误报率高
■ 主动模式：允许较低信任级别的侦测，误报率较高但是更安全
Amber 安全新功能展示 13 可疑行为侦测
Amber 性能数据结果展示 ................................................ 35
Amber 性能数据结果展示 ............................................................... 35
4 目录
Amber 安全功能、性能测试 及虚拟化11 Symantec Corporation. © 2011 年 Symantec Corporation 版权所有。All rights reserved. 保留所有权利。
Symantec 和 Symantec 徽标是 Symantec Corporation 或其附属公司在美国和其他国家/地区 的商标或注册商标。“Symantec”和“赛门铁克”是 Symantec Corporation 在中国的注册 商标。其他名称可能为其各自所有者的商标，特此声明。
背景 ■ BASH 提供了下一代启发式引擎，并更新了 SymProtect 的版本 ■ 在 11.x 中 PTP 在扫描运行的进程时使用的是过时的 COH 技术。如果现行的威
胁被发现，恶意的加载早已经被部署了 ■ BASH 中用 SONAR 替代了 COH 技术，提供了更加安全的实时防护并且在进程
行为初始时就对其进行判断从而避免了潜在的恶意代码执行威胁 ■ SymProtect 模块进行了更新，对文件和注册表防护提供了新的支持 ■ 信誉度设置被引入从而降低误报率
Amber 虚拟化展示 ............................................................. 21
虚拟化功能介绍 ............................................................................ 21 Virtual Image Exception 虚拟镜像排除工具 ....................................... 22 Shared Insight Cache server 缓存服务器 ........................................... 27 Virtual Client Tagging 虚拟客户端标识 ............................................. 32
信誉值来源 --- Mr. Clean 提交中心 ■ 所有的信誉值数据都存储在本地的 IRON 数据库
■ 从 提交中心的报告中收集相关的信息 1. 机器里安装或运行了哪些应用程序并提供给 Symantec 响应的程序 (exe, sys, drv, ocx) 数据。程序清单包括用户的使用模式，服务，驱动和浏览器帮助 程序对象。 2. 应用程序加载了哪些 DLL，这些有助于 Symantec 对与已知的应用程序相关 的未知 DLL 进行判断来确定其潜在的恶意程度。 3. 机器经受了哪些感染以及这些风险的数量和类型，这些有助于判断用户的 “危险”行为倾向。一个不干净的机器其相关的应用程序的信誉度值都很 低。
■ Mr. Clean 通过 Symantec 评分中心结合提交文件的相关使用数据和使用机器上 的相关信息来决定提交的。
■ Mr. Clean 收集应用程序的相关使用数据，所有的 SEP 客户端向 Mr. Clean 后台 数据库提交其威胁记录，使用的应用程序及其 DLL 清单。信誉系统根据程序的 流行度和提交者的倾向对其进行评估打分。一台含有大量威胁的机器会降低其 提交的相关应用程序的信誉值。而应用程序的很高的流行度会提高其信誉值。
6 Amber 安全新功能展示 信誉值来源 --- Mr. Clean 提交中心
■ Mr.Clean 将应用程序的信誉值引入到我们的侦测技术中并通过信誉值对程序进 行“定罪”或“释放”。其不仅通过信誉值对文件进行判定同时将此技术引入 到我们的侦测技术从而降低误报率，也让我们在启发式侦测中对威胁的处理能 力更有信心。 Mr. Clean 信誉值由 Symantec 提供 同时信誉值查询被称之为“云 查找”。
信誉值信息 ■ 只存储可执行进程的文件信息
Msi, exe, ocx, sys, drv, dll
■ 信誉值信息包括 1. 良好/不良声誉文件 2. 基于文件的良好/不良声誉情况来设定文件的受信级别 3. 文件信誉的存活时间信息（TTL），在 TTL 时间内客户端返回的文件信誉 值为良好的，则文件是受信任的直到客户端向后台服务器重新查询新的信 息。文件受信任程度越高其 TTL 越长，TTL 值最小为 4 小时 4. 基于信誉的安全级别由后台服务器来设置 TTL 值。文件受信任程度越低则 TTL 越短 5. 有多少用户在我们的系统里报告使用了此文件（流行度）
1. 信誉技术被用作我们最新的威胁侦测技术 2. 信誉技术大大提高了扫描性能和速度 3. 信誉技术减少了我们的侦测误报率，尤其是致命的系统文件误报 4. 我们能够提供更为主动的实时启发式侦测 5. 信誉技术提供了我们的第一个“云”技术 后台信誉评分系统 ---- Mr. Clean Mr. Clean 是 Symantec 的文件信誉值评分系统同时也包括了 Symantec 的后台数据 处理系统。
1 章节
Amber 安全新功能展示
本章节包括下列主题： ■ 信誉度技术 ■ BASH (SONAR) ■ 下载防护 ■ 智能扫描 ■ 误报缓和
信誉度技术
信誉背景 信誉技术作为一种全新的技术被集成进 Amber， 它通过收集文件各方面的特征信 誉值以决定文件可能的潜在恶意程度，断定其是否为安全文件 ■ 为什么需要使用信誉
clean报告提交给symantec以改进我们的信誉度系统调整下载防护的防护级别以平衡安全级别的需要和管理误报的能力隔离区的再扫描隔离区的再扫描是误报缓和的其它形式当通过liveupdate得到新的病毒定义当通过liveupdate得到新的信誉度数据当得到sepm端的例外策略变更当隔离区的文件通过新的病毒定义能够被清除时则将其病毒清除并恢复误报纠正的种类internet19amber安全新功能展示误报纠正在amber中的应用列出信任的网域阻止下载防护对受信站点进行扫描ie设置通过应用进程学习可以将学习到的任何应用程序添加为例外可信web域例外amber安全新功能展示可信web域例外20amber虚拟化展示本章节包括下列主题
目录
第1章 第2章 第3章
Amber 安全新功能展示 ...................................................... 5
信誉度技术 ................................................................................... 5 BASH (SONAR) ............................................................................ 11 下载防护 ..................................................................................... 14 智能扫描 ..................................................................................... 16 误报缓和 ..................................................................................... 18
本文档中介绍的产品根据限制其使用、复制、分发和反编译/逆向工程的授权许可协议进行分 发。未经 Symantec Corporation（赛门铁克公司）及其特许人（如果存在）事先书面授权， 不得通过任何方式、以任何形式复制本文档的任何部分。
本文档按“现状”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对 特定用途的适用性或无侵害知识产权的暗示保证，均不提供任何担保，除非此类免责声明的 范围在法律上视为无效。Symantec Corporation（赛门铁克公司）不对任何与提供、执行或 使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。