【.com原创文章】安防市场各种产品比比皆是,但很少有人敢拿出来公开测评。但是,少并不代表没有。近日,某安全厂商发起公测活动。哪个厂商有胆量敢公测?什么样的产品是测试版?请继续阅读。百万奖池!擎腾发起“雷火引擎”公测挑战。在前不久青腾召开的媒体沟通会上,青腾正式宣布启动“雷火引擎”公测挑战赛,并设立百万奖金池。对发动机黑样,每台给予最高1000元现金奖励。目前,擎腾携手行业内22家互联网企业SRC,面向全国科研机构、高校、重点基建单位、重保单位、安全企业、互联网企业安全从业者、白帽英雄等举办大赛。活动报名于4月20日正式开启,5月11日正式开始,5月30日结束,6月2日公布结果。(报名通道:https://thunderfire.qingteng.cn/)可能有人会问:什么是“雷火引擎”?别着急,请听笔者的详细解说。说到这个引擎,首先要说的是一个难以检测的后门。它就是WebShell,一种由WebServer运行环境解释执行的文本文件。大多数黑客都可以通过Webshel??l对系统进行长期稳定的控制,对网络中的其他机器进行攻击。“ThunderFireEngine”是一个Webshel??l检测引擎。为了证明引擎的有效性,擎腾发起了本次公测大赛。WebShell恶意程序感染事件居高不下,检测难度大。今年4月初,青藤云安全携手中国工业互联网发展联盟(IDAC)、腾讯标准、腾讯安全,联合发布《2019中国主机安全服务报告》数据。服务器病毒、木马感染事件超过百万次。其中,WebShell恶意程序感染事件占比73.27%,感染事件近80万起。从受感染主机中共发现10000多种木马病毒,其中WebShell约占27%。WebShell的编程语言灵活多变,编写方法多种多样,难以深入分析。WebShell一直是安全行业的痛点,其检测难度极高。据青腾云安全创始人兼CEO张付介绍,目前WebShell的检测方式主要有三种:静态检测、动态检测和基于机器学习的检测。但从检测结果来看,并不尽如人意。例如,静态检测方法不能通过常规方法有效识别WebShell的变形和混乱;熵值分析精度差,很多业务使用混淆来保护代码,混淆不是WebShell判断的核心依据;匹配命中率很低;另外,抽象语法树分析虽然可以分析代码的所有执行路径,但识别变形和混乱的能力较差。静态检测方法有缺点,那么动态检测方法呢?动态检测方式中,沙盒方式可以有效解决变形或混淆问题,但无法执行分支,或者检测不到恶意数据;web进程行为检测方式对API调用无能为力,不调用系统无法检测。另外,无论是机器学习还是深度学习,样本的特征本质上都是通过已知样本学习到的,对未见过样本的识别较差,解释性较差。总之,这些传统的检测方法可以检测到一些WebShell,属于弱对抗性检测,检测效果总是有天花板的。黑客只需更改可检测的样本即可绕过检测,使上述检测方法失效。反混淆和等价回归,WebShell的大杀器——雷火引擎为了解决这个顽固的问题,青藤云安全成立了专门的研究团队。杀手——雷霆消防车。张付表示,雷火引擎的核心能力是反混淆和等价回归。该引擎采用全新的检测思路,不依赖正则匹配,而是将复杂的变形和混淆返回到等效的最简单形式,再基于AI推理发现WebShell中的可疑内容。具有三大功能优势:云端轻量检测、使用范围广、深度检测精准。雷火引擎的原理是将静态检测方式与动态检测方式相结合,既能有效解决变形和混淆问题,又能解决执行分支路径不确定的问题,最终还原出WebShell的有效等价物以最简化的形式,再基于AI推理发现WebShell中的可疑内容。雷火引擎使用了三大核心技术:抽象语法树解析、AI推理、虚拟计算。◆抽象语法树解析:脚本文件以树的形式表示编程语言的语法结构,树上的每个节点代表源代码中的一种结构。借助抽象语法树找到脚本所有可能的执行路径。◆AI推理:借助数据标记、代码推理等多种先进技术手段,在脚本执行过程中,从各种执行路径中找出最有可能发生恶意行为的代码路径。例如,原始代码可能有5000行,但Webshel??l可能只有一行,往往很难找到。而AI推理可以将5000行代码切割成短短的几行代码,利用这些代码行进行虚拟运算。◆虚拟计算:虚拟计算是在模拟真实环境中运行脚本得到结果,并将AI推理融入流程,从脚本中找出最佳执行路径,并进行有效等价还原。不同于传统的Webshel??l检测产品给出模糊结果再人工判断,ThunderfireEngine输出的是确定性判断——只有“是”或“否”,AI推理就像人的判断逻辑,完全基于Webshel??l,不需要依赖黑色样本的数量,以提高检测精度。真金需火炼,“是骡马,带出去走走”。俗话说,真金需火炼!真正能帮助用户解决问题的产品,才称得上是有价值的产品。此次擎腾采用公开透明的方式,邀请各方专家对产品进行测试,也是秉承了对用户负责的态度。事实上,青藤此前曾针对一些顶级白帽子进行过针对性的邀请测试。在测试中,“雷霆消防车”得到了众多大咖的广泛好评,Webshel??l“大杀器”之名也由此而来。回忆起当初的测试情况,张付告诉记者,当时设置了小额红包奖励,每发现一个引擎检测不到的webshel??l,就奖励200现金红包。消息传开后,很多没有收到邀请的白帽子也加入了测试。“整个安全行业有一个固有的认知,就是根本无法检测到Webshel??l,能检测到的都是公开的样本,样本稍加修改就检测不到。因此,当时出现了很多白帽子。”时间。第一反应是的,这家公司在吹牛,这是要打脸,顺便'流汗'。然而在整个测试过程中,这些白帽从一开始的怀疑变成了惊呼,对引擎的检测能力惊叹不已,不仅如此,张付还观察到一些白帽高手提交的样本已经达到了很高的水平,探索代码的逻辑边界,而不是靠运气绕过检测。比如腾讯安全团队提交的样本探索引擎的bug。最终,这次测试,很少有人逃过引擎的检测。在这个公开的beta,》为了让比赛更加公平公正,我们邀请了22位行业专家,包括来自北京理工大学、深交所、微众银行、腾讯、漏洞银行等的资深专家教授,在打分后,我们递交了最终裁判权归裁判组所有。张甫说道。他坦言,虽然最后的考验可能会发现很多问题,但至少青藤有勇气去尝试,“是骡子还是马牵出来的”。“我们希望引领潮流,公开接受产品的考验,希望给整个安防行业带来积极的变化,让更多的厂商愿意在核心产品和技术上持续投入。”实际上,本次公测大赛看似纯粹的产品公测活动,但实际上对安全行业的发展有着非常积极的意义:对于行业而言,将打破行业内安全产品不愿接受公测的现状,树立安防行业新风尚。;对于白帽子来说,它提供了一个大规模展示自己技术和能力的舞台;面向社会,汇聚行业智慧,真正解决WebShell长期存在的问题,树立WebShell检测新高度,为互联网安全赋能;对于国家来说,需要培养和选拔安全人才,助力国家新基建安全,筑牢国家安全防线。采访最后,张付总结道:“青腾的目标是为行业做出重要贡献,推动安防行业的发展。改革发展。当初,正是抱着这样的想法,创立了青腾这家公司。我们的特点是始终站在时代的前沿,为未来做出新的产品和技术,解决行业真正的难题。这是我们与其他人非常不同的地方。》【原创稿件,合作网站转载请注明原作者及出处为.com】
