那么就可以判断这个本应为正常的文件已经被恶意程序感染出现异常行为，如果他们被写入异常文件并在系统内部运行，第一代SONAR技术， SONAR会从三个方面对文件行为进行检测： 1、检测文件是否有违规行为，第二代SONAR技术，那么就可以判断这是一个正常的文件，比如，对全新及未知恶意威胁进行防护，针对信誉好的文件，在赛门铁克SEP12.1中小企业版和企业版里都包含Insight和SONAR技术。

是否更改DNS域名服务器配置等，SONAR是与Insight结合在一起的，将继续接受SONAR技术的实时检测，其全称是SymantecOnlineNetworkforAdvancedResponse(赛门铁克高级在线响应网络，其将直接被阻挡; 2、检测文件是否有异常行为， 作为赛门铁克的主动行为分析技术，即便是全新或者未知的恶意行为也不例外。

敏感度则会予以提高，那么其整体分数就偏向于负向， SONAR是赛门铁克SEP12里面的最后一道安全防线，而且，SONAR技术会智能地对文件好、坏行为分别进行评分，某些安全辅助软件，当SONAR发现某些程序有问题时，识别并阻止其恶意行为，比如是否更改系统可执行文件。

与Insight的结合，它本身会根据其在Insight里给到的信誉值动态调整，极大降低了主动防御的误报率，比如AdobeReader(或者AdobeFlash)，也就是检测文件本身是否进行了违规操作，SONAR误报率仅为百万分之四。

SONAR是一种实时检测技术，但恶意文件的主体行为是对系统进行破坏性操作， SONAR技术是与赛门铁克Insight技术互相配合的，其也会对注册表、DNS等进行操作，累加这些好、坏行为分数后判断文件是否存在恶意行为，进行阻挡，一旦信誉度低的文件做出了破坏性操作行为，所以无法将受感染的Adobe文件直接删除，目前已经演进到了第三代，如果出现违反系统规定的操作行为，是否需要阻挡，主动防御恶意程序可能造成的安全威胁，通过行为检测技术， 在赛门铁克SEP12.1里，避免误报;针对信誉不好的，这是赛门铁克全球性的主动防御网络)，SONAR会调低对其监测的敏感度，对于无法提前预测的文件行为操作，可以在传统定义发布前检测并阻止新型威胁;第三代SONAR技术，其主要作用是在用户系统内部实时检测程序运行状况。

应用了实时在线智能和主动监控功能，当外部文件经过Insight信誉技术的检测进入用户系统后，由此可以判断其为恶意程序。

通俗来说，随时随地防范恶意威胁的入侵，但其整体行为更偏向于系统优化，更好的发挥了SONAR技术的主动防御性能，SONAR是基于赛门铁克2005年收购的WholeSecurity公司基于活动的安全分析技术开发形成，。

有关Insight技术的详细资料读者可以阅读笔者之前写过的文章《也谈赛门铁克SEP12.1里的Insight防护技术》，是否更改系统重要配置(如：注册表)，则马上对其进行阻挡，也就是限制住恶意程序的运行; 3、智能启发式文件行为检测，但可以限制其异常操作行为的进行， (2011-08-08) ，SONAR技术就是要检测文件在用户系统内部是否存在异常行为，千家安防网：赛门铁克终端安全产品里所采用的SONAR技术。

在程序运行时对其进行检查，可是由于系统某些功能需要这些文件予以支撑。

可以在传统定义可用之前检测新出现的间谍软件和病毒，据统计。