【环球网科技报道 记者 张阳】2020年“新基建”成为热词,近日,国家发改委在新闻发布会上对“新基建”进行了解读,“新基建”内涵被首次明确,不仅包含以工业互联网等为代表的信息基础设施,也包括深度应用人工智能等技术支撑传统基建转型升级的融合基础设施,伴随着新基建的加速建设,也在推动企业的数字化转型提速,企业的数字安全就越发重要。
在数字安全领域,Webshell由于编码简单、使用便捷、形式更是千变万化,因此,成为了黑客最常用的攻击手段之一。据统计,2019 年,全国企业用户服务器病毒木马感染事件超百万起,其中 WebShell 恶意程序感染事件占 73.27%。然而,一直以来,市场上没有有效的工具能够精准检验WebShell,使其成为了困扰安全领域的一大顽疾。
为了解决这一难题,青藤云安全经过多年研究开发出了雷火引擎,据青藤云安全CEO张福介绍,以往安全领域内对Webshell的检测有几种方式,比如静态检测分析代码特征;熵值分析,判断代码的混淆度;样本相似度匹配;抽象语法树分析等,或者是动态检测的沙箱运行方式。但是这些检测方式都存在这样或者那样的缺陷,经不起对抗。
“雷火引擎使用了一种全新的思路,这个思路在过去Webshell检测领域从来没有人去想到过,或者尝试过,”张福说,我们的思路就是把非常复杂的混淆的变形,等价回归为最简的形式,再去对其进行判别,就能做到比较精准的检测。
原理听起来并不复杂,但是,实现起来就不那么简单了,人类如果看到这样非常复杂的混淆变形比较容易判别代码的真实意图,但是对于机器来说就十分困难了,因为机器必须要像人一样去理解代码。
张福表示,要想实现这一原理,大致分为三个步骤,第一步做抽象语法树解析,把文字变成代码,变成机器能够理解的逻辑结构;第二步,也是最困难的一步要做AI推理,就是当这段代码能够做非常复杂的执行的时候,AI要把所有的代码可能性全部推演出来,找到最有可能是恶意行为的那些分支,然后对整段代码做减法,裁减掉认为跟恶意行为无关的代码,剩下的就是恶意代码。
他举例说:“例如一段代码可能有5000行,Webshell可能就是20个字节,只有一行,一行恶意的代码嵌到5000行正常的代码里,执行的时候会有很多的条件,当满足多个条件的时候才会执行到恶意的代码,这种是非常难发现的,AI把这些所有的代码可能性全部推演出来,裁减掉认为跟恶意行为无关的代码,最后只剩下那一行恶意代码。”
第三步,根据检测出来的精简代码进行虚拟运算,根据代码的含义去推理,最终发现恶意代码的真实行为。
在经历过一轮内部测试之后,为了证实这一引擎的真实有效,4月20日,青藤安全联合国内22家顶级SRC(安全中心)共同举办『雷火引擎』公测活动,并启动线上报名。
公测赛将于5月11日正式开赛至5月30日截止,6月2日进行结果公示,6月3日举办闭门沙龙。
为确保大赛公平公正,本次大赛还邀请到了来自北理工、深交所、微众银行、腾讯、漏洞银行等公司的22名资深专家、教授担当裁判。
为奖励白帽英雄对 Webshell 检测事业的燃情贡献,本次特设 100 万的奖金池,对于每个成功绕过“雷火引擎”的 Webshell 黑样本,给予最高 1000 元现金奖励!根据积分排名,还设置了金奖 20000 元、银奖 10000 元、铜奖 5000元,以及 WebShell 最佳姿势奖 10000 元、明日之星奖 10000 元。此外,根据最终积分,火线平台将给予参赛选手丰厚的额外奖励。