安全防御 --- APT密码学

Posted 2023-04-11 雨天_

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了安全防御 --- APT密码学相关的知识，希望对你有一定的参考价值。

APT

深度包检测技术：将应用层内容展开进行分析，根据不同的设定从而做出不同的安全产品。

深度流检测技术：与APS画像类似。会记录正常流量行为，也会将某些应用的行为画像描述出来。也可将加密流量进行判断，并执行相应措施。

1、什么是APT攻击？

指一种高度专业化的网络攻击形式，攻击者利用专业知识和技术手段，通过长时间的持续攻击，窃取机密信息、破坏网络安全或进行其他有害活动。APT攻击通常是有组织、有针对性的，攻击者会经过精心策划和长时间准备，采用多种攻击手段和技术，以达到其攻击目的。

2、特点

（1）高度专业化：

攻击者拥有先进的技术和专业知识，能够深入挖掘漏洞、规避防御措施，并利用各种手段进行攻击。

（2）长时间持续性攻击：

APT攻击是一种长期持续的攻击，攻击者会在较长时间内悄悄地进行攻击，以避免被发现和防御。

（3）针对性强：

APT攻击通常是有目的和针对性的，攻击者会针对特定目标进行攻击，并采取专门的攻击手段和技术。

（4）多重手段攻击：

APT攻击会采用多种攻击手段，如漏洞利用、社会工程学攻击、恶意软件等，以达到其攻击目的。

3、目的

APT是黑客以窃取核心资料为目的，针对客户发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为长期的经营与策划，并具备高度隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性的窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

4、APT攻击的生命周期

（1）阶段一：侦察

攻击者收集目标信息，包括网络拓扑结构、系统和应用程序漏洞、系统和应用程序的弱点等。这个阶段的攻击方式包括电子邮件钓鱼、社交网络工程和网络扫描等。

（2）阶段二：投递

攻击者使用恶意软件传递技术将恶意软件传递到目标计算机上，这可能包括使用USB驱动器、恶意文档、电子邮件附件等方法。

（3）阶段三：植入

在投递恶意软件之后，攻击者将恶意软件植入目标计算机或网络中。这个阶段通常涉及使用漏洞、社交工程或钓鱼攻击等方式利用系统或应用程序的弱点。

（4）阶段四：控制

在恶意软件植入目标计算机或网络之后，攻击者可以通过远程访问控制（RAT）、远程访问工具（RAT）和其他方法来控制计算机或网络。

（5）阶段五：操作

在攻击者获得对目标系统的控制权之后，他们可以执行任意操作，包括窃取敏感信息、进行侦察、运行其他恶意软件、攻击其他目标等。

（6）阶段六：持久性

在攻击者获得对目标系统的控制权之后，他们可能会尝试保持对目标系统的控制权，以确保继续访问敏感信息并继续攻击其他目标。

（7）阶段七：擦痕

最后，在攻击者完成他们的任务后，他们可能会试图清除与攻击相关的任何痕迹，以防止被发现。这个阶段包括删除日志文件、清除恶意软件和关闭后门等。

5、APT与反病毒的差异

（1）反病毒：

通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，只能针对已知病毒进行防御，无法识别未知攻击。

（2）区别：APT防御机制与反病毒不同

APT防御和反病毒都是保护计算机系统安全的关键方法，但两者的差异在于其处理安全威胁的方式和重点。反病毒主要通过检测病毒、恶意软件等已知威胁的特征码，来保护计算机系统的安全，而APT防御则主要针对未知威胁，通过分析威胁行为，制定相应的防御策略。

（3）特点：

反病毒主要关注于已知威胁的防御，它会不断地升级病毒库，检测计算机系统中的病毒、恶意软件等特定的已知威胁。一旦发现特定的病毒或恶意软件，反病毒软件会立即进行拦截或者隔离。
APT防御则主要关注未知威胁的防御，通过使用沙箱技术、流量分析等多种手段，来检测网络中的异常行为。一旦发现异常行为，APT防御系统会通过实时监测、流量分析等技术，分析威胁行为的特征，并及时进行相应的防御措施。同时，APT防御也会关注网络中的恶意程序、漏洞利用等攻击手段，并对其进行相应的防御。

（4）总结：

反病毒系统时以被检测对象的特征来识别攻击对象，而APT防御系统是以被检测对象的行为来识别攻击对象。

6、防御APT

（1）最有效方法：沙箱技术

<1> 概念：沙箱技术是指在计算机系统中创建一个隔离的、受控的运行环境，用来执行未知、不受信任的程序或代码，以便分析它们的行为、检测恶意行为和漏洞，从而保护系统和数据的安全。

<2> 分析方法：

静态分析中，分析人员将文件上传到沙箱中，并对其进行扫描、解析和分析，以查找其中是否包含恶意代码
动态分析中，恶意文件或代码被在沙箱环境中运行，沙箱记录程序的行为并生成报告，以便进行进一步的分析和调查。

（2）防御过程：

黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测，然后将检测结果返回给FW
FW获取检测结果后，实施相应的动作。如果沙箱分析除该文件是一种恶意攻击文件，FW侧则可以实施阻断操作，防止该文件进入企业内网，保护企业免遭攻击。

7、沙箱处理流程

（1）流量过滤：

先通过一些基本的过滤规则，如黑名单、白名单等，将可能的恶意流量过滤掉，以减轻后续处理的负担，提高处理效率。

（2）会话重组：

对于 TCP 和 UDP 等可靠和不可靠传输协议，会话重组是将同一会话的多个数据包进行重新组装，以便后续处理能够对完整的会话进行分析。

（3）协议解析：

对网络流量进行协议分析，根据流量的协议类型，将其交给相应的协议分析模块进行分析，如 HTTP 流量分析、SMTP 流量分析等。

（4）行为分析：

通过对协议数据包的解析和会话重组，对网络流量进行深入的分析和行为检测，以便发现可能的恶意行为。行为分析可以包括以下方面：

恶意代码的动态行为分析
网络连接行为分析
文件行为分析
协议异常行为分析
用户行为分析

（5）恶意代码分析：

对发现的可能的恶意代码进行解码和反混淆，以便更好地理解其行为和实现方式，以及为后续处理提供参考。

（6）风险评估：

根据行为分析和恶意代码分析的结果，对流量进行风险评估，以便做出最终的处理决策。

（7）处理结果：

根据风险评估的结果，对恶意流量进行相应的处理，如封锁、隔离、删除等。同时，将处理结果记录到日志中，以便后续查询和分析。

8、配置APT防御

（1）升级文件信誉库

<1> 根据沙箱类型确认license状态

云沙箱：依赖云沙箱检测License，请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测license。
本地沙箱：不依赖license

<2> 升级文件信誉特征库

在线升级
本地升级

<3> 升级文件信誉热点库

文件信誉热点库：包含了华为安全中心最新发布的文件信誉信息，通过更新此热点库，防火墙可以有效识别并及时阻断网络中新出现的威胁文件。

（2）配置web信誉

添加可信/可疑网站

（3）本地沙箱联动

企业内网用户通过FW和路由器连接到Internet，企业内网中部署了本地沙箱，且本地沙箱与FW路由达。配置FW与本地沙箱联动，将FW识别出来存在风险的流量送往本地沙箱进行检测，FW定期去本地沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL列表时，直接进行阻断等处理，保护内网用户免受APT攻击。

选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置”。

配置本地沙箱

配置APT防御文件

配置APT防御文件名称及描述

配置沙箱检测相关参数

安全策略中引入APT防御配置文件

结果验证

【1】选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 本地沙箱”，查看本地沙箱的连接状态为“连接成功”。

【2】点击“连接状态”后面的“登录本地沙箱”，登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。

（4）云沙箱联动

前6步与本地沙箱联动一致

配置沙箱检测相关参数

在安全策略中引入APT防御配置文件

结果验证

【1】在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功

【2】用云账户huawei登录isecurity.huawei.com，查看该FW往云沙箱提交过的文件的检测结果。

二、密码学

1、概述：

密码学之于信息传输 --- 在不安全的环境下建立信息传输通道

密码---明文-->算法+密钥--->密文

举例：
明文 ok
凯撒密码
算法：对字母进行平移可以左也可以右，移动若干位
密钥：向右平移3个字母
密文 rn

2、密码的分类

（1）对称加密

<1> 加解密用同一个密钥，数学角度是一个双向函数；对称加密要保证算法足够复杂以及密钥传输足够安全

<2> 加密信息传递有两个通道：

密文传输通道
密钥传输通道

对称加密算法解决信息的安全传输通道

（2）非对称加密算法 --- （互联网时代我们希望能够在网上公开途径传递密钥）

diff和hellmen开创了非对称加密算法 --- DH算法

非对称加密算法解决对称加密算法密钥的安全传输通道

（3）DH算法解决了公开场合的密钥传递问题

<1> 对称和非对称的优缺点：

对称加密：速度快，密钥不安全
非对称加密：速度慢，密钥安全

<2> 最佳解决：用非对称加密算法去传递对称加密算法的密钥，保证传递过程中对称密钥不会泄露。

3、非对称加密产生的过程及原因

（1）对称加密的困境

密钥安全传输 ---- 对称加密算法的缺陷

密钥传输风险

密钥传输时需要使用安全信道传输对称密钥，但是消息传输的通道是不安全的。

密钥管理难

如果没有非对称加密，百度企业和用户做安全传输时，至少需要保存3-5亿个密钥。

非对称算法只需要一把公钥，对称需要亿以上的密钥。

（2）常见算法

对称

非对称

（3）机密性最佳解决方案：用非对称加密算法加密对称加密算法的密钥

（4）完整性与身份认证的最佳解决方案：

核心原理：私钥加密，公钥解密
过程：

对明文a进行hash运算得到定长值h，然后对h进行非对称运算用私钥加密得到值k，然后对明文值a进行对称运算得到y，传输时同时传输给y和k，收到后用非对称公钥解开k得到h`，然后用堆成算法解开y得到a，然后对a进行hash得到h``，如果h`与h``相同，则证明完整性与身份认证。

4、密码学的应用

（1）身份认证技术的应用

身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限
身份认证技术：在网络总确认操作者身份的过程产生有效的解法。

（2）如何确认信息发送者是本人？

传输方传送公钥的环节确保是安全的
证明传输方的公钥一定是传输方的

5、漏洞

（1）漏洞查出：

黑客攻击：替换Alice的公钥

（2）解决方案：可信机构提供数字证书

公钥的《身份证》 ---- 数字证书

（3）CA可信度 --- PKI体系

<1> PKI体系

概念：是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

简单来说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构，CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户身份。

作用：PKI是创建、办法、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行代码是CA认证机构。

<2> CA中心

概念：即证书授权中心（Certificate Authority），或称证书授权机构，作为电子商务交易中受信任的第三方。

6、认证 --- 数字证书

（1）包含：

用户身份信息
用户公钥信息
身份验证机构的信息及签名数据

（2）分类：

签名证书 --- 身份验证，不可抵赖性
加密证书 --- 加密，完整性与机密性

7、密码学完整应用

附：8、SSL协议分析

SSL协议是由美国网景通信（Netscape）公司自1990年开发，用于保证WWW通信安全。

（1）无客户端认证的握手过程

<1> 可能遭受到的攻击：重放攻击

重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

<2> PreMasterKey密钥参数：合成对称密钥的前置数值

<3> 初始化向量：

（2）有客户端认证的握手过程

（3）会话恢复过程（之前已经建立过会话，再次进行数据传输）

（4）SSL协议的细节

<1> 协议位置

<2> 体系结构

<3> SSL两个概念

连接：一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。SSL是点对点的关系。连接是暂时的，每一个连接和一个会话关联。
会话：一个SSL会话是在客户与服务器之间的一个关联。会话由handshake protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每个连接提供新的安全参数所需的昂贵的协商代价。

5分钟了解APT攻击及其防御原理

1.什么是APT攻击

APT(Advanced Persistent Threat)即高级持续性威胁，是一种周期较长、隐蔽性极强的攻击模式。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍"的行为。

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。

2.APT攻击的过程

第一阶段:扫描探测

在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段:工具投送

在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如ava或微软的办公软件)的Oday漏洞，投送其恶意代码。一旦到位，悉意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段:漏洞利用

利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用尸系统e记打个工提很术，A使最新的主很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段:木马植入

随着漏洞利用的成功，更多的恶意软件的可执行文件—―击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段:远程控制

一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段:横向渗透

一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段:目标行动

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

3.防御APT原理

目前，防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知防火墙实施阻断。

以下这个表情包生动形象

针对APT攻击的防御过程如下:

黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。。EW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测;然后将检测结果返回FW。
FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧则可以实施断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

APT防御与反病毒的差异。

反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。
APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成—套判断规则，因此能提供准确的检测结果。

总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT防御系统是以被检测对象的行为来识别攻击对象。

沙箱的处理流程

1. 内容安全检测

网络流量进入FW并通过安全检查策略以后，进入智能感知引擎进行内容安全检测。智能感知引擎可以分析出网络流量所使用的应用协议，并根据实际配置对流量进行一系列的检测，如反病毒、URL过滤、APT防御等。如果对应流量命中了APT 防御配置文件中的应用类型等匹配条件，则准备对文件进行还原，并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测; 如果未命中 APT 防御配置文件，则流量直接被转发。

2. 查询Web信誉

大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力，所以网立站被侵入口的可能性较小，网站上也几乎不存在恶意文件，用户访问此类网站时的风险很小。相反，随意搭建的小网站或者恶意网站上充斥着大量的恶意文件，用户访问此类网站时的风险也极大。
Web信誉功能对网站进行了分类，FW会根据不同分类进行差异化处理。对于信誉度低的网站，FW会提取出网络流量中的文件，然后送往沙箱进行进一步的检测;对于信誉度高的网站，FW不会提取网络流量中的文件，即跳过了沙箱检测的步骤。这样处理可以提高FW的检测效率，在不降低安全性的同时，提升用户的访问体验。
Web信誉网站分类
- 预定义可信网站。
- 自定义可信网站
- 自定义可疑网站
- 未知网站
当某个网站命中预定义可信网站或自定义可信网站列表时，系统不会提取网络流量中的文件;而命中自定义可疑网站或未知网站时，系统会提取出网络流量中的文件，并送往沙箱进行进一步的检测。

3.查询文件信誉

查询文件信誉

在文件还原之后，提交到沙箱之前，设备会对待检测文件进行文件信誉的查询，判断该文件是否为恶意文件。如果判定为恶意文件，则直接将该文件删除，无需再送往沙箱进行检测;否则送往沙箱进行检测。

文件提交至沙箱并进行检测
- 智能感知引擎将原始文件发送给APT防御模块。智能感知引擎还原出原始文件以后.会将这些文件放入一个缓存区。APT防御模块会定期扫描缓存区，当发现有新的文件以后，通知智能引擎将对应的文件发送给自己。
- APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的
- MD5值。
- 沙箱获取文件后运行此文件，并将文件的行为特征与沙箱的行为特征库进行比对，判定文件是否为恶意攻击文件。然后向APT防御模块发送检测结果。
根据沙箱检测结果阻断后续流量
- APT防御模块随后将检测结果和MD5值发给智能感知引擎。智能感知引擎根据文件的MD5值和检测结果决定是否针对该文件执行阻断操作。
- 默认系统会在沙箱返回的检测结果为恶意时执行阻断，否则将会对流量放行。
- 如果用户想要根据检测结果对后续流量进行阻断，则需要在配置内容安全检测时必须配置反病毒和URL过滤功能。因为只有配置了这两个功能之后，IAE会根据沙箱的检测结果更新缓存中的AV特征库、文件信誉库和恶意URL列表。含有同样恶意特征的流量到达防火墙后，由于命中了AV特征库或恶意URL列表，可以根据反病毒配置文件或URL过滤配置文件中的动作来对该流量进行告警或者阻断。

4.配置APT防御

1. 升级文件信誉库

升级文件信誉特征库前，请根据沙箱类型确认License 状态

云沙箱：依赖云沙箱检测License，请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测License。
本地沙箱：不依赖License

升级文件信誉特征库

在线升级
本地升级

升级文件信誉热点库

文件信誉热点库是由sec.huawei.com发布的，启用文件信誉热点库的更新功能后，可以快速获取云端的文件信誉信息，以便对存在威胁的文件进行及时的阻断。

2.配置Web信誉

添加自定义可信/可疑网站

策略 --> 信誉 --> web信誉

3.本地沙箱联动

企业内网用户通过 FW 和路由器连接到 Internet ，企业内网中部署了本地沙箱，且本地沙箱与 FW 路由可达。配置FW 与本地沙箱联动，将 FW 识别出来存在风险的流量送往本地沙箱进行检测， FW 定期去本地沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL 列表，当具有相同特征的后续流量命中恶意文件或恶意URL 列表时，直接进行阻断等处理，保护内网用户免受 APT 攻击。 3.1 选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置 ” 。

3.2 配置本地沙箱

3.3 配置APT防御文件

3.4 配置APT防御配置文件的名称和描述。

3. 5配置沙箱检测的相关参数

3.6 在安全策略中引用APT防御配置文件

3.7结果验证

1）选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置 > 本地沙箱 ” ，查看本地沙箱的连接状态为 “ 连接成功” 。

2）点击“连接状态”后面的“登录本地沙箱”，登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。

4.云沙箱联动

Internet与企业内网之间通过FW和路由器进行连接，组网中部署了云沙箱。配置FW与云沙箱联动，将FW识别出来存在风险的流量送往云沙箱进行检测，FW定期去云沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL列表时，直接进行阻断等处理，保护内网用户免受APT攻击。

4.1------4.6 与3.1-----3.6一致

4.7 配置沙箱检测的相关参数。