赛门铁克 Symantec SEP12.1产品功能介绍

说明
此文件完全可信 Symantec Endpoint Protection 信任此文 件 Symantec 用户信任此文件，有强大的证 据表明此文件可信 有很多的证据表明此文件可信 有逐渐增多的证据表明此文件可信 有部分证据表明此文件可信 有少量证据表明此文件可信 没有足够的信息来推荐此文件 有少部分证据表明此文件不值得信任 有部分证据表明此文件不值得信任 有许多证据表明此文件不值得信任 极大的证据表明此文件不值得信任 文件不值得信任
6
所有的信誉值数据都存储在本地的IRON数据库 从 提交中心的报告中收集相关的信息
◦ 机器里安装或运行了哪些应用程序并提供给Symantec 响 应的程序 (exe, sys, drv, ocx) 数据。程序清单包括用户 的使用模式，服务，驱动和浏览器帮助程序对象。
◦ 应用程序加载了哪些DLL，这些有助于Symantec 对与已 知的应用程序相关的未知DLL进行判断来确定其潜在的恶 意程度。
件误报 ◦ 我们能够提供更为主动的实时启发式侦测 ◦ 信誉技术提供了我们的第一个“云”技术
5
Mr. Clean 是Symantec的文件信誉值评分系统同时也包括了 Symantec 的后台数据处理系统。 Mr. Clean 将应用程序的信誉值引入到我们的侦测技术中并通过信誉 值对程序进行“定罪”或“释放”。其不仅通过信誉值对文件进行判 定同时将此技术引入到我们的侦测技术从而降低误报率，也让我们在 启发式侦测中对威胁的处理能力更有信心。 Mr. Clean 信誉值由 Symantec提供 同时信誉值查询被称之为“云查找”。 Mr. Clean通过Symantec 评分中心结合提交文件的相关使用数据和 使用机器上的相关信息来决定提交的. Mr. Clean 收集应用程序的相关使用数据，所有的 SEP 客户端向Mr. Clean 后台数据库提交其威胁记录，使用的应用程序及其DLL清单。 信誉系统根据程序的流行度和提交者的倾向对其进行评估打分。一台 含有大量威胁的机器会降低其提交的相关应用程序的信誉值。而应用 程序的很高的流行度会提高其信誉值
具有良好的信誉(>= 100) TTL 值为永久的 流行度的最低值: 925,000 (流行级别为 6) 安装文件大约有15000 个入口点并将大小限制为1 MB 内从而不会对整
个安装包有显著的影响

11
信誉度级别
>= 100 (极高声誉) 75 (Norton信任)
65 (社区信任)
25 (高度良好) 15 (中度良好) 8 (低度良好) 6 (极低度良好) -5 (不符合) -6 - -14 (极低度不良) -15 - -19 (低度不良) -20 - -24 (中度不良) -25 (高度不良) -100 (极其不良)
12
Level 9
Level 8
Level 7 Level 6 Level 5 Level 4 Level 3 Level 2 Level 1
59 允许60 及其以上 = 仅允许具有极高声誉的文件，几乎所有文件都被视为恶意 文件，没有任何文件被视为未经验证
49 允许50 及其以上 = 仅允许具有极高声誉的文件，大部分文件都被视为恶意文 件，只有极少数文件被视为未经验证
IRON 提供了所有相关引擎Mr. Clean的需求并对其进 行管理
9
IRON 数据库
数据库大小一般为 4-6 M。当机器里安装的软件比较多时会增加到 20 M
IRON 内容
◦ 周期性的通过LiveUpdate更新
在安装时已经将IRON数据库连同经过验证的文件 信誉度信息一起安装，文件信誉的预装标准：
文件信誉值为良好的，则文件是受信任的直到客户端向后台服 务器重新查询新的信息。文件受信任程度越高其 TTL 越长， TTL 值最小为4小时。 ◦ 基于信誉的安全级别由后台服务器来设置TTL 值。文件受信任 程度越低则TTL越短 ◦ 有多少用户在我们的系统里报告使用了此文件（流行度） ◦ 文件的认知时间
◦ 机器经受了哪些感染以及这些风险的数量和类型，这些有 助于判断用户的“危险”行为倾向。一个不干净的机器其 相关的应用程序的信誉度值都很低。
7
只存储可执行进程的文件信息
◦ Msi, exe, ocx, sys, drv, dll
信誉值信息包括
◦ 良好/不良声誉文件 ◦ 基于文件的良好/不良声誉情况来设定文件的受信级别 ◦ 文件信誉的存活时间信息（TTL），在TTL时间内客户端返回的
——陈曾
1
防护新技术 虚拟化 性能数据
2
3
信誉度技术 BASH(SONAR) 下载防护 智能扫描 误报纠正
4
信誉技术作为一种全新的技术被集成进Amber，它 通过收集文件各方面的特征信誉值以决定文件可能 的潜在恶意程度，断定其是否为安全文件
为什么需要使用信誉
◦ 信誉技术被用作我们最新的威胁侦测技术 ◦ 信誉技术大大提高了扫描性能和速度 ◦ 信誉技术减少了我们的侦测误报率，尤其是致命的系统文
8
基础的信誉值组件和云查询系统。IRON结合通过Mr. Clean 进行云查询得到的信誉值和威胁侦测得到的信誉 值从而提供一个最终的信誉值。同时IRON还结合 Symantec 白名单和管理员提供的程序例外。
许多引擎都需要使用信誉值数据 所有的引擎需要以下的功能：
◦ 进行云查询 ◦ 在本地存储信誉值数据 ◦ 定义更新数据的时间 ◦ 定义如何根据最初的受信级别来使用信誉值数据 ◦ 如果可能调整实时的算法
13
信誉度组件
◦ 信誉度组件与产品一起被安装 ◦ 安装界面可以进行信誉的提交的设置
非受管客户端
14
15
BASH (SONAR)
24 允许25 及其以上 = 仅允许具有良好声誉的文件
7 允许8 及其以上= 仅允许具有良好信誉倾向的文件
-5 仅允许没有不良信誉的文件
-10 禁止任何有不良信誉倾向、信誉差，或极可能含有恶意的文件
-25 禁止具有不良信誉的文件或极可能含有恶意的文件
-37 禁止可能或极可能含有恶意的文件
-100 禁止极可能含有恶意的文件