为期两天的XCon2016在北京诺金酒店圆满落下帷幕,这场信息安全技术盛宴吸引了国内外众多信息安全专家、信息安全工作者、信息安全爱好者,多位业界***专家分享了他们的***研究成果。椒图科技天择实验室吴康在XCon上分享了主题演讲《利用脚本虚拟机检测WebShell》,以ASP脚本虚拟机为例,***向业界分享【云锁】在未知安全威胁检测与查杀领域采用的先进技术。
吴康分析了常规的webshell检测方法,并指出常规方法存在误报率高、难以识别变形及加密webshell的弊端。吴康指出云锁V3版在未知威胁检测方面,采用基于脚本虚拟机(沙盒)的无签名Webshell检测技术,不依赖文本特征检测,可以高效率检测出加密、变形、未活动的webshell,目前已经完成asp、php、.net、java等多种脚本虚拟机构造,大幅度提高webshell的检测效率和准确率。
吴康也坦言,云锁技术团队在研发脚本虚拟机的过程中也遇到很多困难和挑战,不过结合统计学、机器学习分类算法、深度优先算法等其他领域的技术,云锁脚本虚拟机模块的webshell识别率已经达到国际领先水准,云锁即将上线的V3版将引入该项技术,大幅度加强云锁对位置威胁的检测和拦截能力。
除了基本脚本虚拟机(沙箱)外,云锁还采用RASP技术和ASVE技术来检测已知、未知安全威胁。RASP技术对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及未知威胁,能有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2等基于传统签名方式无法有效防护的应用漏洞;云锁***的虚拟化安全域技术(ASVE),通过将应用进程放入虚拟化安全域内,限制应用进程权限,防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作;而脚本虚拟机则是对前端两道防御的补充和加固,可有效检测各种加密、变形的Webshell。
本届XCon已经顺利拉下帷幕,但开放、共享的极客精神,会伴随着XCon一起在业界成长、滋生。
