WebShell的“大殺器”雷火引擎公測賽檢驗實力

■本刊記者 趙志遠

Webshell可以說是當今最流行的惡意攻擊方式之一，是網絡安全領域特別是威脅Web服務器安全的一大頑疾。攻擊者利用Webshell來控制企業網站服務器，會給企業帶來極大安全風險。

WebShell攻擊猖獗，檢測是難點

根據近期青藤云安全與中國產業互聯網發展聯盟、騰訊標準、騰訊安全共同發布的《2019中國主機安全服務報告》數據顯示，2019年，全國企業用戶服務器病毒木馬感染事件超百萬起，其中Webshell惡意程序感染事件占73.27%。

Webshell攻擊不僅對于客戶來說是個難題，對于專業安全廠商也是不小的挑戰。據青藤云安全創始人兼CEO張福介紹，在我國安全行業發展20年的歷程中，Webshell由于編碼簡單、使用便捷、千變萬化等特點，如何進行有效檢測始終是安全工作人員頭疼的難題。

當前針對Webshell的檢測方法無外乎靜態檢測、動態檢測，以及基于機器學習檢測，但從檢測效果來看，都不盡如人意。為了能夠更好地理解Webshell檢測的核心問題，讓我們先來看看這幾種檢測方法的問題所在：

其中靜態檢測方法中，通過正則方法無法有效識別Webshell的變形和混淆；而熵值分析準確度較差，而且很多業務會使用混淆來保護代碼；因為Webshell可以無限變形，相似度匹配方式檢測的命中率很低；抽象語法樹分析對于變形和混淆識別較差。

在動態檢測方法中，沙箱方式能有效解決變形或者混淆問題，但是分支執行不到，或者惡意數據沒有傳入就無法檢測；Web進程行為檢測對API調用無能為力，不調用System的檢測不了。

此外，無論采用機器學習還是深度學習，本質上還是靠已知樣本去學習樣本的特征，對于未見過的樣本識別較差，且解釋性差。

總而言之，傳統對Webshell的檢測方法都無法有效解決問題。張福表示，這些方法始終存在天花板，黑客只需要把樣本略做更改，就能夠輕易繞開檢測，傳統方法只能檢測到一部分的Webshell，但是做不到對抗，是屬于弱對抗的檢測。這是安全行業的現狀，這種現狀亟需改變。

雷火引擎，另辟蹊徑，抓住WebShell的“命門”

解決問題最關鍵的做法是抓住問題的本質，在經過青藤云安全專家們的頭腦風暴之后認為，Webshell之所以難以檢測，不就是因為它的動態混淆能力嗎？如果有一種方法可以裁減掉多余的分支，并將其等價還原成最簡化的形式，那么這個難題也不是不可能攻克的。于是，一種全新的Webshell檢測產品誕生了。

青藤云安全專門針對Webshell檢測研發出雷火引擎，將靜態檢測方法和動態檢測方法相結合，既能夠有效解決變形和混淆問題，又能夠解決執行分支路徑不確定問題，最終將Webshell進行有效的等價還原成最簡化的形式，然后根據AI推理發現Webshell中的可疑內容。

這里面涉及到三種技術。首先是做抽象語法樹解析找到腳本的所有可能執行路徑，這一步實現起來并不困難。第二步是做AI推理，這是雷火引擎的難點，也是核心價值所在。AI推理是把所有的代碼可能性全部推演出來，裁減掉認為跟惡意行為無關的代碼，化繁為簡，從多種執行路徑中找到最佳執行路徑。比如說，客戶的代碼可能有5000行，而Webshell可能就只有一行，往往難以被發現，AI推理能夠把5000行代碼裁減成只有幾行，通過這幾行代碼做第三步的虛擬運算，將腳本模擬真實環境中去運行，從而得到最終結果。

不同于傳統Webshell檢測產品給出模糊性結果，再由人工去判斷，雷火引擎輸出的是確定性判斷——只有“是”或“否”，而根據AI推理如同人的判斷邏輯，完全依據Webshell的定義進行判斷，也無需依賴黑樣本數量來提升檢測精確度。

張福這樣評價雷火引擎：“這是歷史性的突破，它使得我們對Webshell的檢測能力提升到全新的高度。”當然說出這樣的話是有底氣的。張福介紹，去年，青藤云安全首先嘗試做了4次內部的對抗測試，直到公司內部安全專家已經沒有辦法突破雷火引擎的防線。之后青藤云安全又定向邀請業內頂級白帽子，對目標發起Webshell攻擊，也少有能逃過雷火引擎的檢測。

一場“有勇氣”的公開測評

實踐是檢驗真理的惟一標準，一項新產品是否具有突破性必須能經受住實踐檢驗。雷火引擎在經過內測階段之后，青藤云安全又做出更大膽的舉動——聯合國內22家企業SRC共同舉辦線上公開挑戰賽，并設置了100萬的獎金池。

從此次舉辦挑戰賽可以看出，青藤云安全不僅僅是產品測評這么簡單，更能突出一種勇氣。一般來說，一項產品的技術性問題交給專業測評機構去做，然后再拿測評結果推向市場，用數字證明自己的產品有多么優秀，而直接將產品拿到市場來做公開測評畢竟是有風險的。按青藤云安全自己的話說：“安全市場上的各類產品比比皆是，愿意接受公眾測評的卻鳳毛麟角”。

用實際攻防，而非冷冰冰的測評數字對產品進行驗證，是青藤云安全帶給安全圈的一大創舉。

另一方面，公開測評也是不斷完善自身產品的一次絕佳機會，通過與業界頂級白帽子合作，能夠很好地找出雷火引擎的不足。

張福表示：“青藤云安全是面向未來做產品，去解決當前安全領域中真正難以解決的問題，為推動安全產業的發展貢獻力量。”