Norton Internet Security本身的最核心功能有三：SONAR（全称Symantec Online Network for Advanced Response，赛门铁克前瞻响应在线网络技术），IPS（入侵防护），浏览器主动防护。这三大核心功能分别放置在诺顿的电脑、网络、网页三大防护体系中，属于STAR（Security Technology and Response，安全技术和响应）可以说是自己所在的防护层中的“顶梁柱”。

　　 不过这次说的只是电脑防护中的核心组件——SONAR。

　　 SONAR有三大分析技术

　　 1.Classification EngineBasedin Artificial Intelligence（基于人工智能技术的威胁分类引擎）

　　2.Behavioral Signatures（行为签名分析，类似于行为特征库）

　　3.Behavioral Policy Lockdown（行为锁定，也就是AutoSandbox（自动沙箱）技术）

　　前瞻响应在线网络技术，顾名思义，在这里面会应用到在线网络（云）技术。没错，这里的部分行为签名分析和几乎全部的人工智能分析都是在云服务器端完成的。

　　人工智能分析需要很大的运算量，在本地几乎是不可能的（360的本地QVM只是QVM完整版的一部分，在本地的数据运算量很少，主要也是在服务器完成）

　　SONAR的人工智能技术和360的QVM有相似之处，具体介绍如下：

　　By anonymously collecting attributes of running applications from the members of the Norton Community Watch program, SONAR has built up one of the world’s largest databases of behavioral profiles on nearly 200 million application instances. Relying on almost 400 different behavioral attributes, the SONAR classification engine is quickly able to spot malicious behaviors and take action to remove bad applications before they do damage.

　　

　　 全段中文翻译：

　　 我们在参加诺顿社区防卫的成员中匿名收集他们正在运行的应用程序的相关信息，现在已经收集并建立了接近200万应用程序的行为特征数据库，是世界上最大的行为特征数据库之一，根据近400个不同的行为属性，SONAR程序分类引擎能够以最快速度发现恶意程序的行为并迅速做出反应，在恶意程序做出不良行为之前清除它们。

　　

　　 从这里我们可以更加明确的看出，诺顿的人工智能分析融合了各种云分析器，并且有行为分析来作为辅助，可以较快的清除恶意程序所做出的危险行为。这一段看似在解释云行为分析，但是实际上是在解释一种与众不同的人工智能技术的理念。其中SONAR的分类引擎实际上就是在基于人工智能分析来工作的，上文中提到的BehavioralSignatures是作为SONAR分类引擎，也就是人工智能技术的一个补充而存在的，以下也有一段补充说明：

　　 Our SONAR system uses artificial Intelligence-techniques to learn the difference between good and bad applications. To train SONAR, our engineers have provided the system with almost 200 million different behavioral profiles of both good and bad applications. SONAR then learns how to differentiate between legitimate and malicious behaviors on its own, enabling it to identify new threats based on past experiences.

　　

　　 中文翻译：

　　 我们的SONAR系统采用人工智能技术，学习并区分应用程序的好与坏的行为。我们的工程师提供了近200万的各种应用程序的行为特征数据。然后，SONAR会学会如何分析正常或恶意的行为，使其能够根据过去的“经验”来识别全新的威胁。

　　

　　 以上，是关于SONAR人工智能技术的介绍和翻译，接下来介绍Behavioral Signatures，这个介绍起来就比较简单易懂了，本人也只翻译一些重点部分。

　　 To complement the classification engine, SONAR includes the ability to process behavioral signatures. These signatures are fast to write, test, and deploy and they give SONAR the flexibility and adaptability to respond to certain classes of emerging threats with a very low false-positive rate.

翻译：

　　 为了配合分类引擎，SONAR提供了用于提高威胁处理能力的行为特征。这些行为特征可以快速编写、测试和发布。这些行为特征数据给SONAR很高的灵活性和适应性去识别一些新的威胁并且具有非常低的误报。

　　

　　 以上，是关于SONAR的行为特征数据库的相关介绍，接下来又算一个小小的重点了：行为锁定，也就是沙箱。

　　 In some cases, malware threats get deeply entrenched in various legitimate applications or operating system files. In such cases, it can be dangerous to remove them. SONAR has the ability to implement a virtual sandbox around the infected but legitimate application and by doing so can prevent the infected application from taking any malicious actions that might harm a user’s computer.

　　

　　 中文翻译：

　　 在某些情况下，恶意软件可以威胁到各种正常的应用程序和系统文件的运行。在这种情况下，这种威胁是必须删除的。SONAR可以使用虚拟沙箱解决它对系统或正常应用程序的感染，这样做可以防止受感染的应用程序采取任何可能损害计算机的恶意行为。

　　

　　 以上是对于行为锁定的介绍。

　　

　　 不过在这里，我不由得要说一下SONAR的两点小缺陷：

　　 1.SONAR的沙箱有一点奇怪，很多未知的恶意程序在运行后，会经过SONAR的沙箱进行虚拟环境运行和分析，并且SONAR也删除了此威胁，但是这个恶意程序仍然对操作系统造成了影响。虽然SONAR也进行了回滚操作，但是恶意程序对系统的威胁并未消除。我们不知道是SONAR的沙箱“不小心”漏沙了还是根本没有成功防住这个威胁，这种现象有时会发生，不过发生概率并不算高。

　　

　　 SONAR的基于虚拟环境的行为分析技术，偶尔（较低概率）会无法拦截一些恶意程序的运行，如果这些程序也过了诺顿的启发和云社区的二次信誉分析，那么这个恶意程序运行起来就很简单了。

　　以上两个问题是存在时间较长的两个缺陷，在诺顿2012中，对这些缺陷作出了一定改进，但是仍然没有彻底解决。不过这些缺陷，只需要再安装一个安全辅助，如360安全卫士，就可以得到彻底的解决。360安全卫士和诺顿应该是没有什么冲突，这一点360在一个说明中提到过的。从好的方面想，NIS2012和360的云主防如果是可以完美兼容（即不出现个别人提到的NIS和360卫士搭配会漏毒的现象，至少这个现象在本人的电脑中从未出现），那么可以说是一个完美的搭配了。NIS的SONAR会首先分析程序，大多数的恶意程序都可以被清除，一旦诺顿出现了上述的两个问题，那么360的云主防还可以进行二次拦截，很大程度的保证了系统的安全性。