沙箱、蜜罐和欺骗防御的区别

沙箱、蜜罐和欺骗防御的主要区别是防御方面不同，沙箱允许恶意软件安装并运行，以供技术人员观察其恶意行为；蜜罐和蜜网可以关注分析黑客在以为已被渗透的网络上会进行的行动轨迹；欺骗防御则是更新的高级入侵检测及预防策略，提供更为真实的蜜网，易于部署且能给用户提供更多信息，但需要更多的预算和更高的专业技能要求。以上三种安全技术在预防与分析领域各司其职。

沙箱、蜜罐和欺骗防御三者的定义如下：

• 沙箱：广义上的沙箱技术是一种安全隔离的独立运行环境。这在当前的计算机系统中存在这广泛的应用，如一些编程语言的执行内核环境等等，在网络安全分析领域，研究者也创造了各种不同的虚拟环境，如能分析恶意软件行为的沙箱环境，能诱导攻击者的虚假沙盒环境等等。

• 蜜罐：基于沙箱的特殊执行环境，到了 20 世纪 90 年代末期，蜜罐的思路开始形成。其原理是通过布设没有真实业务的脆弱系统形成欺骗环境从而诱使攻击者进行攻击。随后蜜网的概念被提出，其核心思想就是通过构建一个高度可控的网络，在其中部署真实的虚拟系统形成诱骗环境。因为蜜网中采用了真实环境，从而可以捕获丰富的入侵信息。蜜罐因为捕获数据价值高、几乎没有误报、能够检测 0 day 攻击，且只要蜜罐系统能够覆盖网络 的一小部分 IP 地址，就可以在早期检测到蠕虫的爆发，因此受到重视。

• 欺骗防御：网络欺骗是由蜜罐演进而来的一种防御机制。在网络攻击中，攻击一般需要依据网络侦查获取的信息来决定下一步动作，网络欺骗正是利用这一特点，通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动。与传统安全技术相比，网络欺骗不是着眼于攻击特征而是攻击者本身，可以扭转攻击者与防御者之间的攻防不对称。