『网络安全』

史无前例!为什么青藤敢于将“雷火引擎”拿出来公测?

将安全产品拿出来面向市场公测,并实打实地进行现金悬赏,这可能是国内安全史上的第一次。

青藤云安全雷火引擎公测挑战赛

近日,青藤云安全宣布启动“雷火引擎”公测挑战赛活动,并设置100万奖金池激励,吸引业内顶尖白帽加入。雷火引擎是青藤研发的一款针对Webshell进行检测的安全产品,作为一款未上市的安全引擎,青藤对其进行公测的目的也不难理解,就是要利用市场检验、锻造其安全能力。

不过,采取公测意味着青藤也要承担巨大的风险,撒钱不说,最重要的是可能被“打脸”,一旦有大量的参赛者携Webshell样本成功绕过雷火引擎,这也就间接证明了产品的失败之处。

事实上,过去也有不少厂商进行过对产品的公测活动,准确地说是众测,也就是邀请第三方机构或特定人群对产品进行测试,这显然有局限性。即使极少数宣称有面向市场的产品公测,但采取一些小礼品的激励方式,往往也不能吸引高手参与,实现的效果也就大打折扣。

而此次雷火引擎公测暨首届青藤云安全线上公开挑战赛除了设置吸引人的现金奖励外,还邀请了22家知名企业SRC鼎力支持,浩大声势举办这一活动,青藤的目的就是热诚欢迎牛人大咖来打。

从未有过的挑战赛,敢于将雷火引擎拿出来公测,这无不体现出青藤巨大的信心,毕竟真不是来求打脸的。那么,青藤的底气到底来自哪?

Webshell大杀器,雷火引擎“像人一样去思考”

既然敢于公测,当然青藤认为要想突破雷火引擎的防线并不容易。青藤的底气就来自对雷火引擎安全能力的自信。

经过一年多的研发,雷火引擎将Webshell的检测能力提升至全新的高度,并被誉为“Webshell大杀器”,青藤云安全CEO张福用“30分到90分”来形容雷火引擎的突破。30分是以往Webshell检测工具的普遍能力,这是因为WebShell的多样性和无限变形,使得传统安全工具很难检测到它们。

即使有多种检测方法,也大多存在局限性,这包括静态检测方法、动态检测方法、机器学习方法等。静态检测方法只能检测出已知特征的WebShell,无法有效识别webshell的变形和混淆;动态检测方案例如沙箱,能有效解决变形或者混淆问题,但是分支执行不到,或者恶意数据没有传入就无法检测,并容易导致资源浪费;而对AI检测来说,无论采用传统机器学习还是基于目前比较火的深度学习,本质上还是靠已知样本去学习样本的特征 ,对于未见过的样本识别较差,且解释性差。

也就是说,以往Webshell的检测方法都有各自的局限性,用张福的话说,它们能够检测到一部分的Webshell,但是做不到对抗,或者称之为是弱对抗的检测,黑客只要把样本略做更改,就能够绕开检测,这就是整个行业的现状。

那从30分迈入90分,青藤云安全雷火引擎到底在技术上进行了什么革新?青藤采取了全新思路:反混淆等价回归,这也是雷火引擎的核心能力。

雷火引擎不依赖正则匹配,⽽是通过把复杂的变形和混淆回归成等价最简形式,然后根据AI推理发现Webshell中存在的可疑内容。通过将静态检测方法和动态检测方法相结合,既能够有效解决变形和混淆问题,又能够解决执行分支路径不确定的问题。

反混淆等价回归示例

有了反混淆等价回归能力的加持,雷火引擎能够做到“像人一样去思考”,通过理解复杂代码的含义,再把它等价还原成最简化的形式,进而做到精准检测。对此,张福表示,雷火引擎已经触及到问题的本质,像人一样去判断一个Webshell的是或非,哪怕之前没有见过。

实现这一能力的核心在于,雷火引擎使用了三大关键技术:抽象语法树解析,AI推理,虚拟运算。

首先,抽象语法树解析将脚本文件以树状的形式表现编程语言的语法结构,树上的每个节点都表示源代码中的一种结构。借助抽象语法树找到脚本的所有可能执行路径。

其次,AI推理借助于多种先进的技术手段,比如数据标记,代码推理等,在脚本执行过程中,从多种 执行路径中找到最佳执行路径。例如从上千种执行路径中,找到最可能恶意行为的代码路径,再进行下一步虚拟运算。

第三,虚拟运算是将脚本模拟真实环境中去运行得到结果,并在此过程中融入AI推理,从脚本中找到最佳执行路径,将其有效等价还原,去发现其最后到底干了什么。

如此一来,雷火引擎拥有了非常独特的能力,在测试中,其检测精度、准确率和误报率等指标完全超越了现在所有的产品,并且不是超越一点点,而是突破性的。

树立安全行业新风,公测赛起了一个好头

被誉为Webshell大杀器,当然并不是青藤张口自封的,而是来自业内大咖的一致评价。事实上,此前,青藤已面向一些顶尖白帽进行了定向邀测。测试中,雷火引擎得到了广泛赞许。

”太厉害了“、“史上最强”、”不愧为Webshell大杀器“、“甩某某的Webshell检测软件XX几条街”、”“都拿出家底来检测了”、“马马虎虎绕过”、“测试了100次,放弃了”……这就是别人眼中的雷火引擎,来自中国顶级白帽子们的评价。

当然,人外有人、天外有天,青藤虽是进行了面向高手的定向邀测,但毕竟没有公开,不具备普遍和广泛性。所以,此次雷火引擎公测赛就是广邀豪杰,敬请高手与雷火一较高下。目前,公测赛正处于报名阶段,如果你有关于Webshell的绝招,不妨一试。

这里有必要说的是,此次挑战赛看似是青藤对自家产品进行的一次简单的公测活动,实则对产业发展有着十分积极的意义。

众所周知,当前市场上各类安全产品比比皆是,但愿意接受公众测评的却凤毛麟角。究其原因也不难理解,对于企业来说,真正懂安全的用户比例并不高。所以在选择产品时,仅凭厂商的PPT展示并不能展现出其实效,何况那些关于产品的性能指标又掺杂了多少水分,并不为人知。显然,这不利于行业健康发展。

是骡子是马拉出来遛遛,雷火引擎的公测挑战赛,对行业来说,打破了业内安全产品不愿意接受公测的现状,青藤拉起一面旗帜,有利于树立安全行业新风,去倒逼行业关注投入真正的核心产品技术。

此外,对白帽子来说,通过磨练他们的技术和能力,挑战赛提供了一个大型的展示舞台,进而也在培养和选拔安全人才上产生积极影响。

期待此次青藤举办的雷火引擎公测并不是终点,而是为行业起了一个好头,引领一股新风,让公测成为产业发展的常态。最重要的是,这有利于推动中国安全产品技术加速成长与跨越。

华为与湖北相拥:不曾离开,追寻未来

上一篇

全面启动抗疫100天 阿里推出全球首个商品智能发布系统

下一篇

你也可能喜欢

热门标签

微信扫一扫

微信扫一扫