沙箱、蜜罐和欺骗防御的区别

沙箱：广义上的沙箱技术是一种安全隔离的独立运行环境。这在当前的计算机系统中存在这广泛的应用，如一些编程语言的执行内核环境等等，在网络安全分析领域，研究者也创造了各种不同的虚拟环境，如能分析恶意软件行为的沙箱环境，能诱导攻击者的虚假沙盒环境等等。
蜜罐：基于沙箱的特殊执行环境，到了 20 世纪 90 年代末期，蜜罐的思路开始形成。其原理是通过布设没有真实业务的脆弱系统形成欺骗环境从而诱使攻击者进行攻击。随后蜜网的概念被提出，其核心思想就是通过构建一个高度可控的网络，在其中部署真实的虚拟系统形成诱骗环境。因为蜜网中采用了真实环境，从而可以捕获丰富的入侵信息。蜜罐因为捕获数据价值高、几乎没有误报、能够检测 0 day 攻击，且只要蜜罐系统能够覆盖网络 的一小部分 IP 地址，就可以在早期检测到蠕虫的爆发，因此受到重视。
欺骗防御：网络欺骗是由蜜罐演进而来的一种防御机制。在网络攻击中，攻击一般需要依据网络侦查获取的信息来决定下一步动作，网络欺骗正是利用这一特点，通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动。与传统安全技术相比，网络欺骗不是着眼于攻击特征而是攻击者本身，可以扭转攻击者与防御者之间的攻防不对称。

沙箱基本都是在专用虚拟机上执行，这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。
蜜罐和蜜网就是为诱捕攻击者而专门设置的脆弱系统。蜜罐是诱使攻击者盗取有价值数据或进一步探测目标网络的单个主机。