沙箱和 apt 攻擊檢測什么區別

沙箱屬于apt攻擊檢測中的一種手段方案，兩者無法進行比較并且沒有區別，沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力，這一方案還能解決特征匹配對新型攻擊的滯后性。

apt攻擊主要有以下四個流程期：

1. 探測期：信息收集

   探測期是APT攻擊者收集目標信息的階段。攻擊者使用技術和社會工程學手段收集大量關于系統業務流程和使用情況等關鍵信息，通過網絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析，得出系統可能存在的安全弱點。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃等，用于在下一階段實施精確攻擊。

2. 入侵期：初始攻擊，命令和控制

   攻擊者突破安全防線的方法可謂五花八門，如采用誘騙手段將正常網址請求重定向至惡意站點，發送垃圾電子郵件并捆綁染毒附件，以遠程協助為名在后臺運行惡意程序，或者直接向目標網站進行SQL注入攻擊等。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務器、網絡設備的控制權。（在受害者的網絡植入遠程管理軟件，創建秘密訪問其設備的網絡后門和隧道；利用漏洞和密碼破解來獲取受害者計算機的管理員權限，甚至是Windows域管理員賬號。）

3. 潛伏期，后續攻擊，橫向滲透，資料回傳

   攻擊者成功入侵目標網絡后，通常并不急于獲取敏感信息和數據，而是在隱藏自身的前提下尋找實施進一步行動的最佳時機。（攻擊者利用已控的目標計算機作為跳板，在內部網絡搜索目標信息。）當接收到特定指令，或者檢測到環境參數滿足一定條件時，惡意程序開始執行預期的動作，（最初是內部偵察，在周邊有信任關系的設備或Windows域內收集信息）取決于攻擊者的真正目的，APT將數據通過加密通道向外發送，或是破壞應用服務并阻止恢復，令受害者承受極大損失。（攻擊者擴展到對工作站、服務器等設備的控制，在之上進行信息收集）。 資料竊取階段，攻擊者通過跳板訪問關鍵服務器，在利用0day漏洞等方式攻擊服務器，竊取有用信息。然后將竊取道德數據，應用、文件、郵件等資源回傳，攻擊者會將這些資源重新分割成細小的碎片逐步以不同的時間周期穿給自己。

4. 退出期：清理痕跡

   以竊取信息為目的的APT類攻擊一旦完成任務，用戶端惡意程序便失去了使用價值；以破壞為目的的APT類攻擊得手后即暴露了其存在。這兩種情況中為了避免受害者推斷出攻擊的來源，APT代碼需要對其在目標網絡中存留的痕跡進行銷毀，這個過程可以稱之為APT的退出。APT根據入侵之前采集的系統信息，將滯留過的主機進行狀態還原，并恢復網絡配置參數，清除系統日志數據，使事后電子取證分析和責任認定難以進行

回答所涉及的環境：聯想天逸510S、Windows 10。