為期兩天的XCon2016在北京諾金酒店圓滿落下帷幕，這場(chǎng)信息安全技術(shù)盛宴吸引了國(guó)內(nèi)外眾多信息安全專家、信息安全工作者、信息安全愛好者，多位業(yè)界***專家分享了他們的***研究成果。椒圖科技天擇實(shí)驗(yàn)室吳康在XCon上分享了主題演講《利用腳本虛擬機(jī)檢測(cè)WebShell》，以ASP腳本虛擬機(jī)為例，***向業(yè)界分享【云鎖】在未知安全威脅檢測(cè)與查殺領(lǐng)域采用的先進(jìn)技術(shù)。

　　吳康分析了常規(guī)的webshell檢測(cè)方法，并指出常規(guī)方法存在誤報(bào)率高、難以識(shí)別變形及加密webshell的弊端。吳康指出云鎖V3版在未知威脅檢測(cè)方面，采用基于腳本虛擬機(jī)(沙盒)的無簽名Webshell檢測(cè)技術(shù)，不依賴文本特征檢測(cè)，可以高效率檢測(cè)出加密、變形、未活動(dòng)的webshell，目前已經(jīng)完成asp、php、.net、java等多種腳本虛擬機(jī)構(gòu)造，大幅度提高webshell的檢測(cè)效率和準(zhǔn)確率。

[[170845]]

　　吳康也坦言，云鎖技術(shù)團(tuán)隊(duì)在研發(fā)腳本虛擬機(jī)的過程中也遇到很多困難和挑戰(zhàn)，不過結(jié)合統(tǒng)計(jì)學(xué)、機(jī)器學(xué)習(xí)分類算法、深度優(yōu)先算法等其他領(lǐng)域的技術(shù)，云鎖腳本虛擬機(jī)模塊的webshell識(shí)別率已經(jīng)達(dá)到國(guó)際領(lǐng)先水準(zhǔn)，云鎖即將上線的V3版將引入該項(xiàng)技術(shù)，大幅度加強(qiáng)云鎖對(duì)位置威脅的檢測(cè)和攔截能力。

　　除了基本腳本虛擬機(jī)(沙箱)外，云鎖還采用RASP技術(shù)和ASVE技術(shù)來檢測(cè)已知、未知安全威脅。RASP技術(shù)對(duì)應(yīng)用系統(tǒng)的流量、上下文、行為進(jìn)行持續(xù)監(jiān)控，識(shí)別及防御已知及未知威脅，能有效防御SQL注入、命令執(zhí)行、文件上傳、任意文件讀寫、反序列化、Struts2等基于傳統(tǒng)簽名方式無法有效防護(hù)的應(yīng)用漏洞;云鎖***的虛擬化安全域技術(shù)(ASVE)，通過將應(yīng)用進(jìn)程放入虛擬化安全域內(nèi)，限制應(yīng)用進(jìn)程權(quán)限，防止黑客利用應(yīng)用程序漏洞提權(quán)、創(chuàng)建可執(zhí)行文件等非法操作;而腳本虛擬機(jī)則是對(duì)前端兩道防御的補(bǔ)充和加固，可有效檢測(cè)各種加密、變形的Webshell。

　　本屆XCon已經(jīng)順利拉下帷幕，但開放、共享的極客精神，會(huì)伴隨著XCon一起在業(yè)界成長(zhǎng)、滋生。