功能：供應(yīng)用執(zhí)行或文件打開(kāi)的安全隔離環(huán)境。

沙箱差異來(lái)源：
1、所用模擬器
2、版本限制
3、模擬速度
4、惡意軟件檢測(cè)具體技術(shù)

1、操作系統(tǒng)&完整模擬器
現(xiàn)代威脅可以檢測(cè)出模擬操作系統(tǒng)。為抵御現(xiàn)代威脅，沙箱解決方案需進(jìn)行完整系統(tǒng)模擬，以為自己已到達(dá)目標(biāo)主機(jī)，于是嘗試執(zhí)行惡意動(dòng)作，隨后被檢測(cè)出來(lái)。
2、操作系統(tǒng)和應(yīng)用版本限制
有些沙箱只對(duì)特定版本的操作系統(tǒng)或應(yīng)用有效。它們可能只能模擬這些解決方案，或者只能識(shí)別針對(duì)這些平臺(tái)的威脅。如果公司采用的操作系統(tǒng)版本正好是該沙箱適用的，那就沒(méi)什么問(wèn)題。但如果公司最終需升級(jí)或調(diào)整其基礎(chǔ)設(shè)施，這就成問(wèn)題了。操作系統(tǒng)和應(yīng)用版本限制還會(huì)削弱沙箱解決方案在大型綜合性網(wǎng)絡(luò)上的有效性，因?yàn)榇缶W(wǎng)絡(luò)上可能承載著多種解決方案和平臺(tái)。
理想的沙箱解決方案應(yīng)能創(chuàng)建不特定于某種操作系統(tǒng)或應(yīng)用版本的沙箱環(huán)境。
3、模擬速度
模擬越復(fù)雜，模擬速度越關(guān)鍵。有些沙箱能夠快速模擬，有些就會(huì)很慢。有些沙箱優(yōu)化良好，只消耗很少的資源；有些沙箱優(yōu)化很差，會(huì)吞掉大量處理時(shí)間和內(nèi)存。若想發(fā)揮效果，沙箱需在整個(gè)網(wǎng)絡(luò)上運(yùn)行，與模擬速度相關(guān)的任何問(wèn)題都會(huì)迅速膨脹，可能會(huì)拖慢整個(gè)網(wǎng)絡(luò)，干擾生產(chǎn)。
4、基于特征碼&基于行為
基于特征碼的檢測(cè)矚目程序，判斷其是否曾被識(shí)別過(guò)?；谔卣鞔a的解決方案維護(hù)有用于識(shí)別惡意軟件程序或樣本的龐大特征碼字典。通過(guò)匹配新文件特征碼與庫(kù)中已知惡意文件特征碼，這些基于特征碼的解決方案能快速判斷文件是否惡意。但不幸的是，一旦文件略有修改，其特征碼也會(huì)隨之改變，基于特征碼的解決方案便無(wú)法識(shí)別了。
基于行為的檢測(cè)關(guān)注程序嘗試采取的動(dòng)作。如果某樣本嘗試執(zhí)行看似惡意的動(dòng)作，基于行為的檢測(cè)解決方案便會(huì)觸發(fā)，要么是用戶(hù)收到彈出警告，要么是惡意程序被自動(dòng)隔離。基于行為的沙箱不僅可以檢測(cè)通過(guò)產(chǎn)生新特征碼以逃過(guò)基于特征碼檢測(cè)系統(tǒng)的自變形惡意軟件，也可以檢測(cè)從未見(jiàn)過(guò)的全新惡意程序。
【如何選擇惡意軟件沙箱】
高級(jí)惡意軟件足夠智能，可感知自身是否處于沙箱環(huán)境。一旦檢測(cè)到是在沙箱環(huán)境中運(yùn)行，高級(jí)惡意軟件在被釋放到網(wǎng)絡(luò)環(huán)境前是不會(huì)表現(xiàn)出任何惡意行為的。對(duì)付此類(lèi)惡意程序的唯一方法，是采用技術(shù)上更先進(jìn)的沙箱解決方案。只有通過(guò)模擬整個(gè)主機(jī)環(huán)境——從內(nèi)存直到應(yīng)用層，沙箱才能騙過(guò)高級(jí)惡意軟件。

模擬整個(gè)環(huán)境的沙箱與真實(shí)環(huán)境幾乎別無(wú)二致，讓惡意程序不可能規(guī)避檢測(cè)。下一代惡意軟件檢測(cè)解決方案可模擬目標(biāo)環(huán)境的方方面面，而不僅僅是應(yīng)用層和操作系統(tǒng)層。

但有個(gè)問(wèn)題：惡意軟件分析沙箱通常都作為其他網(wǎng)絡(luò)安全解決方案的一部分而存在，比如防火墻或終端防護(hù)系統(tǒng)。因此，沙箱往往被當(dāng)成解決方案的免費(fèi)贈(zèng)品，購(gòu)買(mǎi)解決方案時(shí)不會(huì)過(guò)多考慮。但考慮到不是所有沙箱環(huán)境都有相同功效，只有一個(gè)惡意軟件沙箱可能不足以保護(hù)公司數(shù)據(jù)抵御高級(jí)威脅。