虚拟“金丝雀”系统是否用于检测恶意程序？

Question

我想知道是否使用虚拟系统检测到恶意程序。

例如，将在虚拟环境中建立“金丝雀”系统，然后在其中执行未知和不受信任的程序，对未知程序的操作进行高度检查，以确定是否有恶意活动的迹象。

虚拟环境能否被安全地装上沙箱以防止宿主系统的感染？这种方法是否已采用，在实践中是否可行？这个方法的名称是什么？使用这种方法的例子有哪些？

Answer 1

这方面的口语化术语是蜜罐。蜜罐系统必须对攻击者有吸引力，但在其他方面受到限制，这样就不能帮助攻击者执行其邪恶的计划。这是一个相当微妙的平衡。例如，一个陷阱垃圾邮件发送者的蜜罐必须看起来像是可以作为大量垃圾邮件的中继，但最好不允许实际发送大量垃圾邮件(或任何垃圾邮件)。

虚拟机是一种使多个系统共享相同硬件的方法，但在名义上却是相互隔离的。逃离VM通常是不可能的，除非VM引擎有一个安全漏洞，而现有的VM引擎确实有安全漏洞，因此在VM中托管蜜罐有点风险。可以理解的是，对于蜜罐来说，您需要便宜的东西(毕竟，它对您的业务贡献不大)，而VM通常比物理服务器便宜。但是使用物理机器作为蜜罐确实更安全，它具有良好的网络隔离(显式防火墙，没有VLAN.)。另一方面，一个虚拟机可以是快照，这是非常方便的后期分析。

蜜罐的主要目的是作为一个观察甲板，以了解什么样的攻击正在流行。编写僵尸网络检测系统的公司运行蜜罐，让僵尸网络在受控条件下进行观察。