压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

沙箱環(huán)境是很多網(wǎng)絡(luò)安全解決方案用來對抗高級惡意軟件的常用功能。防火墻、終端防護(hù)，甚至下一代機(jī)器學(xué)習(xí)系統(tǒng)都將沙箱作為其防線的一環(huán)。然而，不是所有的沙箱都有類似的功效。

不同沙箱采取的惡意軟件分析與檢測方法各異，其中一些明顯不如另一些有效。老舊沙箱所用技術(shù)會被新型惡意軟件規(guī)避，令老舊沙箱很大程度上起不到什么效果。文本將探討不同種類的沙箱，這些沙箱所采用的技術(shù)，及其局限性。

惡意軟件分析沙箱差異

簡言之，沙箱就是供應(yīng)用執(zhí)行或文件打開的安全隔離環(huán)境。這一寬泛定義下，不同沙箱之間差異頗大。沙箱間的差異主要來自4個方面：所用模擬類型、版本限制、模擬速度，以及惡意軟件檢測具體技術(shù)。

1. 操作系統(tǒng)模擬 vs 完整系統(tǒng)模擬

老舊沙箱環(huán)境基本上只復(fù)制應(yīng)用及操作系統(tǒng)層。這就是所謂的操作系統(tǒng)模擬。曾經(jīng)有那么一段時間只模擬應(yīng)用層和操作系統(tǒng)層就足以確定文件是否惡意了。被分析的文件會檢測到該操作系統(tǒng)，以為自己已到達(dá)目標(biāo)主機(jī)，遂嘗試執(zhí)行惡意動作，然后被檢測出來。

不幸的是，此類沙箱方法已不再有效?，F(xiàn)代威脅可以檢測出模擬操作系統(tǒng)。為抵御現(xiàn)代威脅，沙箱解決方案需進(jìn)行完整系統(tǒng)模擬。如果缺乏完整系統(tǒng)模擬，就好像身處沒有窗戶的布景房間：惡意軟件總會拉開窗簾一探究竟的。

2. 操作系統(tǒng)和應(yīng)用版本限制

有些沙箱只對特定版本的操作系統(tǒng)或應(yīng)用有效。它們可能只能模擬這些解決方案，或者只能識別針對這些平臺的威脅。如果公司采用的操作系統(tǒng)版本正好是該沙箱適用的，那就沒什么問題。但如果公司最終需升級或調(diào)整其基礎(chǔ)設(shè)施，這就成問題了。操作系統(tǒng)和應(yīng)用版本限制還會削弱沙箱解決方案在大型綜合性網(wǎng)絡(luò)上的有效性，因為大網(wǎng)絡(luò)上可能承載著多種解決方案和平臺。

理想的沙箱解決方案應(yīng)能創(chuàng)建不特定于某種操作系統(tǒng)或應(yīng)用版本的沙箱環(huán)境。

3. 模擬速度

模擬越復(fù)雜，模擬速度就越關(guān)鍵。有些沙箱能夠快速模擬，有些就會很慢。有些沙箱優(yōu)化良好，只消耗很少的資源；有些沙箱優(yōu)化很差，會吞掉大量處理時間和內(nèi)存。若想發(fā)揮效果，沙箱需在整個網(wǎng)絡(luò)上運行。與模擬速度相關(guān)的任何問題都會迅速膨脹，可能會拖慢整個網(wǎng)絡(luò)，干擾生產(chǎn)。

下一代沙箱解決方案牢記網(wǎng)絡(luò)既要保證安全又要保障暢通，非常重視優(yōu)化和有效性。如果采用這些更為先進(jìn)的平臺，公司企業(yè)遭遇較大資源占用和開銷的概率會小些。

4. 基于特征碼 vs 基于行為

解決方案在沙箱中運行時，惡意軟件如何檢出？當(dāng)前主要有兩種方法：基于特征碼的分析和基于行為的分析。

基于特征碼的檢測矚目程序，判斷其是否曾被識別過?；谔卣鞔a的解決方案維護(hù)有用于識別惡意軟件程序或樣本的龐大特征碼字典。通過匹配新文件特征碼與庫中已知惡意文件特征碼，這些基于特征碼的解決方案能快速判斷文件是否惡意。但不幸的是，一旦文件略有修改，其特征碼也會隨之改變，基于特征碼的解決方案便無法識別了。

基于行為的檢測關(guān)注程序嘗試采取的動作。如果某樣本嘗試執(zhí)行看似惡意的動作，基于行為的檢測解決方案便會觸發(fā)，要么是用戶收到彈出警告，要么是惡意程序被自動隔離?；谛袨榈纳诚洳粌H可以檢測通過產(chǎn)生新特征碼以逃過基于特征碼檢測系統(tǒng)的自變形惡意軟件，也可以檢測從未見過的全新惡意程序。

如何選擇惡意軟件沙箱

高級惡意軟件足夠智能，可感知自身是否處于沙箱環(huán)境。一旦檢測到是在沙箱環(huán)境中運行，高級惡意軟件在被釋放到網(wǎng)絡(luò)環(huán)境前是不會表現(xiàn)出任何惡意行為的。對付此類惡意程序的唯一方法，是采用技術(shù)上更先進(jìn)的沙箱解決方案。只有通過模擬整個主機(jī)環(huán)境——從內(nèi)存直到應(yīng)用層，沙箱才能騙過高級惡意軟件。

模擬整個環(huán)境的沙箱與真實環(huán)境幾乎別無二致，讓惡意程序不可能規(guī)避檢測。下一代惡意軟件檢測解決方案可模擬目標(biāo)環(huán)境的方方面面，而不僅僅是應(yīng)用層和操作系統(tǒng)層。

但有個問題：惡意軟件分析沙箱通常都作為其他網(wǎng)絡(luò)安全解決方案的一部分而存在，比如防火墻或終端防護(hù)系統(tǒng)。因此，沙箱往往被當(dāng)成解決方案的免費贈品，購買解決方案時不會過多考慮。但考慮到不是所有沙箱環(huán)境都有相同功效，只有一個惡意軟件沙箱可能不足以保護(hù)公司數(shù)據(jù)抵御高級威脅。

選擇企業(yè)安全解決方案的時候，最好對沙箱加以特別考慮。能提供完整系統(tǒng)模擬嗎？是分析行為而不僅僅依賴特征碼嗎？能夠復(fù)制任何類型任意版本的操作系統(tǒng)或應(yīng)用嗎？如果解決方案未達(dá)到上述標(biāo)準(zhǔn)，你可能需另外購買帶有足夠功能的沙箱以補(bǔ)足解決方案，檢測當(dāng)今復(fù)雜多變的高級惡意軟件。

沙箱是有效網(wǎng)絡(luò)安全解決方案的基本組成部分，如果不能合理限制惡意軟件，那該解決方案本身就是無效的?？紤]購買或升級惡意軟件檢測解決方案的時候，不妨多給沙箱分一點考察時間。