【51CTO.com原創(chuàng)稿件】安全市場(chǎng)的各類產(chǎn)品比比皆是，但是敢于拿出來(lái)接受公眾測(cè)評(píng)的卻少之又少。然而，少并不代表無(wú)，近日就有一家安全廠商發(fā)起了公測(cè)活動(dòng)。究竟哪家廠商如此有勇氣，敢于公測(cè)?公測(cè)又是什么產(chǎn)品呢?請(qǐng)您往下看。

百萬(wàn)獎(jiǎng)金池！青藤發(fā)起“雷火引擎”公測(cè)挑戰(zhàn)賽

在前不久青藤召開的媒體溝通會(huì)上，青藤正式宣布啟動(dòng)“雷火引擎”公測(cè)挑戰(zhàn)賽活動(dòng)，并設(shè)置了一百萬(wàn)的獎(jiǎng)金池，對(duì)于成功繞過(guò)引擎的黑樣本，每個(gè)給予最高1000元現(xiàn)金獎(jiǎng)勵(lì)。

目前，青藤攜手業(yè)內(nèi)22家互聯(lián)網(wǎng)公司 SRC，面向全國(guó)科研機(jī)構(gòu)、高等院校、關(guān)鍵基礎(chǔ)設(shè)施單位、重保單位、安全企業(yè)、互聯(lián)網(wǎng)企業(yè)安全從業(yè)者、白帽英雄，舉辦賽事?；顒?dòng)報(bào)名已于4月20日正式開啟，5月11日正式開始，5月30日活動(dòng)結(jié)束，并將于6月2日公布結(jié)果。(報(bào)名通道：https://thunderfire.qingteng.cn/)

也許有人會(huì)問(wèn)了：“雷火引擎”究竟是個(gè)什么東東?別急，請(qǐng)聽(tīng)筆者細(xì)細(xì)道來(lái)。

說(shuō)起這個(gè)引擎，就要先聊聊一種很難被檢測(cè)到的后門，它就是WebShell，是一種文本文件，由Web Server運(yùn)行環(huán)境解釋執(zhí)行的。絕大多數(shù)黑客可通過(guò)Webshell長(zhǎng)期穩(wěn)定控制系統(tǒng)，對(duì)網(wǎng)絡(luò)中其他機(jī)器進(jìn)行攻擊。而“雷火引擎”就是一款Webshell檢測(cè)引擎。為了證明該引擎的有效性，青藤發(fā)起了本次公測(cè)賽。

WebShell惡意程序感染事件居高不下，檢測(cè)困難

今年4月初，青藤云安全攜手中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟(IDAC)、騰訊標(biāo)準(zhǔn)、騰訊安全，共同發(fā)布的《2019中國(guó)主機(jī)安全服務(wù)報(bào)告》數(shù)據(jù)顯示，2019年，全國(guó)企業(yè)用戶服務(wù)器病毒木馬感染事件超百萬(wàn)起。其中WebShell惡意程序感染事件占73.27%，感染事件為近80萬(wàn)起。從感染主機(jī)中，總共發(fā)現(xiàn)超1萬(wàn)種木馬病毒，其中WebShell 約占27%。

WebShell的編寫語(yǔ)言靈活多變，寫法多種多樣，徹底分析難度高。WebShell一直是安全行業(yè)的痛點(diǎn)，其檢測(cè)極其困難。據(jù)青藤云安全創(chuàng)始人兼CEO張福介紹，當(dāng)前針對(duì)WebShell的檢測(cè)方法主要有三種：靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)，以及基于機(jī)器學(xué)習(xí)檢測(cè)。但從檢測(cè)效果來(lái)看，都不盡如人意。

比如靜態(tài)檢測(cè)方法，采用正則方法無(wú)法有效識(shí)別WebShell的變形和混淆;熵值分析準(zhǔn)確度較差，而且很多業(yè)務(wù)會(huì)使用混淆來(lái)保護(hù)代碼，混淆不是WebShell判定的核心依據(jù);由于WebShell可以無(wú)限變形，相似度匹配命中率很低;另外，采用抽象語(yǔ)法樹分析，雖然能夠分析代碼所有執(zhí)行路徑，但是對(duì)于變形和混淆識(shí)別較差。

靜態(tài)檢測(cè)方法有弊端，那么動(dòng)態(tài)檢測(cè)方法怎樣呢?在動(dòng)態(tài)檢測(cè)方法中，沙箱的方式能有效解決變形或者混淆問(wèn)題，但是分支執(zhí)行不到，或者惡意數(shù)據(jù)沒(méi)有傳入就無(wú)法檢測(cè);Web進(jìn)程行為檢測(cè)的方式，對(duì)API調(diào)用無(wú)能為力，不調(diào)用system的檢測(cè)不了。

另外，無(wú)論采用機(jī)器學(xué)習(xí)還是深度學(xué)習(xí)，本質(zhì)上都是靠已知樣本去學(xué)習(xí)樣本的特征，對(duì)于未見(jiàn)過(guò)的樣本識(shí)別較差，且解釋性差。

總之，這些傳統(tǒng)的檢測(cè)方式都可以檢測(cè)到部分WebShell，是弱對(duì)抗的檢測(cè)，檢測(cè)效果始終有天花板。黑客僅需更改能被檢測(cè)出的樣本，就能夠繞過(guò)檢測(cè)，讓以上檢測(cè)方法失效。

反混淆等價(jià)回歸，WebShell大殺器——雷火引擎

為了解決這一頑疾，青藤云安全建立了專門的研究團(tuán)隊(duì)，基于多年的經(jīng)驗(yàn)積累，歷經(jīng)一年多時(shí)間潛心研究，開發(fā)出了WebShell大殺器——雷火引擎。

張福表示，雷火引擎核心能力是反混淆等價(jià)回歸。該引擎使用了一種全新的檢測(cè)思路，不依賴正則匹配，而是通過(guò)把復(fù)雜的變形和混淆回歸成等價(jià)最簡(jiǎn)形式，然后根據(jù)AI推理發(fā)現(xiàn)WebShell中存在的可疑內(nèi)容。它具有三大功能優(yōu)勢(shì)：云端輕量檢測(cè)、使用范圍廣、檢測(cè)精度深。

雷火引擎的原理是將靜態(tài)檢測(cè)方法與動(dòng)態(tài)檢測(cè)方法相結(jié)合，既能夠有效解決變形和混淆問(wèn)題，又能夠解決執(zhí)行分支路徑不確定的問(wèn)題，最終將WebShell進(jìn)行有效的等價(jià)還原成最簡(jiǎn)化的形式，然后根據(jù)AI推理發(fā)現(xiàn)WebShell中存在的可疑內(nèi)容。雷火引擎使用了三大核心技術(shù)：抽象語(yǔ)法樹解析、AI推理、虛擬運(yùn)算。

◆抽象語(yǔ)法樹解析：將腳本文件以樹狀的形式表現(xiàn)編程語(yǔ)言的語(yǔ)法結(jié)構(gòu)，樹上的每個(gè)節(jié)點(diǎn)都表示源代碼中的一種結(jié)構(gòu)。借助抽象語(yǔ)法樹找到腳本的所有可能執(zhí)行路徑。

◆AI推理：借助與多種先進(jìn)的技術(shù)手段，比如數(shù)據(jù)標(biāo)記、代碼推理等，在腳本執(zhí)行過(guò)程中，從多種執(zhí)行路徑中找到最有可能惡意行為的代碼路徑。比如，原有代碼可能有5000行，而Webshell可能僅一行，往往難以被發(fā)現(xiàn)。而AI推理能夠把5000行代碼裁減成只有幾行，通過(guò)這幾行代碼做虛擬運(yùn)算。

◆虛擬運(yùn)算：虛擬運(yùn)算是將腳本模擬真實(shí)環(huán)境中去運(yùn)行得到結(jié)果，并在此過(guò)程中融入AI推理，從腳本中找到最佳執(zhí)行路徑，將其有效等價(jià)還原。

不同于傳統(tǒng)Webshell檢測(cè)產(chǎn)品給出模糊性結(jié)果，再由人工去判斷，雷火引擎輸出的是確定性判斷——只有“是”或“否”，而根據(jù)AI推理如同人的判斷邏輯，完全依據(jù)Webshell的定義進(jìn)行判斷，也無(wú)需依賴黑樣本數(shù)量來(lái)提升檢測(cè)精確度。

真金需要火來(lái)煉，“是騾子是馬，牽出來(lái)遛遛”

俗話說(shuō)的好，真金還需要火來(lái)煉！真正能夠幫助用戶解決問(wèn)題的產(chǎn)品，才能稱得上有價(jià)值的好產(chǎn)品。此次，青藤采用公開透明的方式，邀請(qǐng)各方高手測(cè)試從產(chǎn)品，也是秉承為用戶負(fù)責(zé)的態(tài)度。

實(shí)際上，青藤此前已面向一些頂尖白帽進(jìn)行了定向邀測(cè)。測(cè)試中，“雷火引擎”得到了諸多大咖的廣泛贊許，Webshell“大殺器”之名也由此而來(lái)。

回想當(dāng)初測(cè)試的情形，張福告訴記者，那時(shí)設(shè)置了小額紅包獎(jiǎng)勵(lì)，每發(fā)現(xiàn)一個(gè)引擎無(wú)法檢測(cè)的Webshell，獎(jiǎng)勵(lì)200現(xiàn)金紅包。當(dāng)消息傳開，很多沒(méi)有收到邀請(qǐng)的白帽子也加入了測(cè)試。“在整個(gè)安全行業(yè)有個(gè)固有的認(rèn)知，就是Webshell根本無(wú)法檢測(cè)，能檢測(cè)的都是公開的樣本，而一旦樣本稍做改動(dòng)，就無(wú)法檢測(cè)了。因此，當(dāng)時(shí)有很多白帽子的第一反應(yīng)是，這個(gè)公司在吹牛，要去打臉，順帶‘薅羊毛’。”

然而，在整個(gè)測(cè)試過(guò)程中，這些白帽從開始的懷疑，轉(zhuǎn)為了感嘆，驚嘆于引擎的檢測(cè)能力。不僅如此，張福還觀察到，有些白帽高手提交的樣本達(dá)到了很高的境界，探究的是代碼的邏輯邊界，而不是靠撞運(yùn)氣來(lái)繞道檢測(cè)。比如騰訊安全團(tuán)隊(duì)提交的樣本，探究到引擎的BUG。最終，這次測(cè)試少有人逃過(guò)引擎的檢測(cè)。

此次公測(cè)，“我們?yōu)榱吮荣惛拥墓焦?qǐng)了22位業(yè)內(nèi)專家，包含北理工、深交所、微眾銀行、騰訊、漏洞銀行等公司的資深專家、教授組成裁判組，為各Webshell繞過(guò)打積分，我們把最終的裁判權(quán)力交給了裁判組裁定。”張福說(shuō)到。

他坦言，雖然最后有可能會(huì)測(cè)試出不少問(wèn)題，但是至少青藤勇于嘗試，“是騾子是馬牽出來(lái)溜溜”。“我們希望引領(lǐng)風(fēng)氣，把產(chǎn)品公開接受檢驗(yàn)。希望給整個(gè)安全行業(yè)帶來(lái)積極改變，讓更多的廠商愿意在核心產(chǎn)品和技術(shù)上持續(xù)投入。”

其實(shí)，此次公測(cè)賽看似是一場(chǎng)單純的產(chǎn)品公測(cè)活動(dòng)，實(shí)則對(duì)安全產(chǎn)業(yè)的發(fā)展有著十分積極的意義：對(duì)行業(yè)來(lái)說(shuō)，打破業(yè)內(nèi)安全產(chǎn)品不愿意接受公測(cè)的現(xiàn)狀，樹立安全行業(yè)新風(fēng);對(duì)白帽子來(lái)說(shuō)，磨練他們的技術(shù)和能力，提供了一個(gè)大型展示的舞臺(tái);對(duì)社會(huì)來(lái)說(shuō)，集合行業(yè)智慧，真正解決了WebShell的頑疾，樹立WebShell檢測(cè)新高度，為互聯(lián)網(wǎng)安全賦能;對(duì)國(guó)家來(lái)說(shuō)，培養(yǎng)和選拔安全人才，助力國(guó)家新基建安全，筑牢國(guó)家安全防線。

采訪最后，張福總結(jié)說(shuō)：“青藤的目標(biāo)是希望給行業(yè)做出重要貢獻(xiàn)，希望能夠推動(dòng)安全行業(yè)的改革和發(fā)展。當(dāng)初，也正是抱著這樣的理念，創(chuàng)建了青藤這家公司。我們的特點(diǎn)是永遠(yuǎn)站在時(shí)代的前沿，面向未來(lái)做新的產(chǎn)品和技術(shù)，解決行業(yè)中真正難以解決的問(wèn)題，這是我們跟別人很不一樣的地方。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】