تجزیه و تحلیل رفتاری SONAR بخشی از محافظت از تهدید بصورت پیشگیرانه در رایانه های مشتری و خط مشی حفاظت از ویروس و جاسوس افزار در Symantec Endpoint Protection Manager است.
تجزیه و تحلیل رفتاری، محافظتی در زمان واقعی است که هنگامی که برنامهها در کامپیوترهای شما اجرا میشوند، رفتارهایی را که ممکن است خطرناک باشند، تشخیص میدهد. ماژول Sonar از هیوریستیکها و همچنین دادههای شهرت برای تشخیص تهدیدات ناشناخته و در حال ظهور استفاده میکند. سونار محافظت “روز صفر” را فراهم میکند زیرا رفتارهای مخرب را قبل از ایجاد تعریفهای شناسایی ویروس و جاسوس افزار سنتی، تشخیص میدهد.
این ماژول سطح دیگری از محافظت را برای کامپیوترهای مشتری شما فراهم میکند و محافظت ضد ویروس و جاسوس افزار، پیشگیری از نفوذ، کاهش سوء استفاده از حافظه و محافظت دیواره آتش موجود شما را تکمیل میکند.
تجزیه و تحلیل رفتاری SONAR از یک سیستم هیوریستیک استفاده میکند که از شبکه هوشمندی آنلاین Symantec با نظارت پیشگیرانه محلی در کامپیوترهای مشتری برای تشخیص تهدیدات در حال ظهور استفاده میکند. تجزیه و تحلیل رفتاری همچنین تغییرات یا رفتارهایی را که باید نظارت شوند، در کامپیوترهای مشتری شما تشخیص میدهد.
سونار سیمانتک یک فناوری برای تشخیص نرمافزارهای مخرب و مهاجمان شبکه است. این فناوری با استفاده از شناسایی الگوهای رفتاری نرمافزار، قادر به تشخیص و پیشگیری از حملات مخرب است.
در سونار سیمانتک، رفتارهای نرمافزاری در داخل سیستم بررسی میشود و هرگونه تغییر و تحول در الگوهای رفتاری بلافاصله تشخیص داده میشود. سپس با استفاده از الگوریتمهای یادگیری عمیق و هوش مصنوعی، سونار سیمانتک قادر به تشخیص حملات مخرب و اقدام به پاکسازی آنها است.
به عنوان مثال:
سونار سیمانتک میتواند تلاشهای برقراری ارتباط با سرورهای مشکوک، اجرای کدهای مخرب و حتی تلاش برای دسترسی به فایلها و دادههای محرمانه را تشخیص دهد و در صورت لزوم، به صورت خودکار اقدام به پاکسازی و یا محدود کردن این اقدامات مخرب میکند.
بدین ترتیب، سونار سیمانتک یکی از ابزارهای اساسی در امنیت سایبری Symantec Endpoint Protection است که به عنوان یکی از پیشگامان در حفاظت از اطلاعات و دادههای محرمانه در مقابل حملات مخرب و مهاجمان شبکه شناخته میشود.
نکته: ماژول Auto-Protect نیز از نوعی هیوریستیک به نام Bloodhound برای تشخیص رفتار مشکوک در فایلها استفاده میکند.
تجزیه و تحلیل رفتاری ممکن است برای نظارت بر فعالیتهای مشکوک، برخی کد را به برنامههایی که در حال اجرا در حالت کاربر ویندوز هستند، تزریق کند. در برخی موارد، تزریق ممکن است بر عملکرد برنامه تأثیر بگذارد یا باعث مشکلات در اجرای برنامه شود. شما میتوانید استثناءی ایجاد کنید تا فایل، پوشه یا برنامه را از این نوع نظارت استثنا کنید.
تجزیه و تحلیل رفتاری به تشخیص بر اساس نوع برنامه نمیپردازد، بلکه بر اساس رفتار یک فرآیند عمل میکند. Sonar تنها در صورتی بر روی یک برنامه عمل میکند که رفتار خبیثانهای داشته باشد، به طوری که نوع برنامه، برای تشخیص مهم نیست. به عنوان مثال، اگر یک تروجان یا کیلوگر رفتاری خبیثانه نداشته باشد، تجزیه و تحلیل رفتاری آن را تشخیص نمیدهد.
تهدیدات هیوریستیک
Sonar از هیوریستیک برای تشخیص اینکه یک فایل ناشناخته رفتار مشکوکی دارد و ممکن است با خطر بالا یا پایینی روبرو شود، استفاده میکند. همچنین از دادههای شهرت برای تعیین اینکه تهدید یک خطر بالا یا پایین است، استفاده میکند.
SONAR اقلام زیر را تشخیص میدهد:
| تهدیدات هیوریستیک | تجزیه و تحلیل رفتاری از هیوریستیک برای تشخیص اینکه یک فایل ناشناخته رفتار مشکوکی دارد و ممکن است با خطر بالا یا پایینی روبرو شود، استفاده میکند. همچنین از دادههای شهرت برای تعیین اینکه تهدید یک خطر بالا یا پایین است، استفاده میکند. |
| تغییرات سیستم | تجزیه و تحلیل رفتاری برنامهها یا فایلهایی را که سعی در تغییر تنظیمات DNS یا پرونده میزبان در رایانهی مشتری دارند، تشخیص میدهد. |
| برنامههای قابل اعتمادی که رفتار ناپسندانه دارند | بعضی از پروندههای قابل اطمینان، ممکن است با رفتار مشکوک همراه باشند. تجزیه و تحلیل رفتاری این پروندهها را به عنوان رویدادهای رفتار مشکوک تشخیص میدهد. به عنوان مثال، یک برنامهی مشترک سند معروف ممکن است پروندههای اجرایی ایجاد کند. |
نکته:
اگر شما Auto-Protect را غیرفعال کنید، قابلیت تشخیص فایلهای با خطر بالا و پایین توسط تجزیه و تحلیل رفتاری محدود خواهد شد. اگر همچنین Insight lookups (کوئریهای اعتبار) را غیرفعال کنید، همچنین توانایی تشخیص با تحلیل رفتاری نیز محدود خواهد شد.