沙箱 sandbox_沙箱算法

1. 沙箱定义

沙箱技术是防御apt攻击的最有效的方法之一，通过沙箱技术构造一个隔离的威胁
检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，FW则对流量实施阻断。

1.1 apt 攻击

1. Advanced Persistent Threat
2. APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，
   指某组织对特定对象展开的持续有效的攻击活动。

2. 沙箱防御攻击的过程

1. 外网的攻击者向企业内网发起APT攻击，命中APT防御配置文件的攻击流量将被还原成文件。
2. FW将还原后的文件送往沙箱进行威胁分析。
3. FW定期去沙箱上获取文件的检测结果，根据检测结果实施相应的动作。
4. 如果沙箱分析出该文件是一种恶意攻击文件，FW则对具有相同特征的后续流量实施阻断操作，防止该流量进入企业内网，保护企业内网免遭攻击。

3. 沙箱 明显的缺点：

1. 做不到实时阻断
2. 稍微改动就检查不了