為期兩天的XCon2016在北京諾金酒店圓滿落下帷幕，這場信息安全技術盛宴吸引了國內外眾多信息安全專家、信息安全工作者、信息安全愛好者，多位業界***專家分享了他們的***研究成果。椒圖科技天擇實驗室吳康在XCon上分享了主題演講《利用腳本虛擬機檢測WebShell》，以ASP腳本虛擬機為例，***向業界分享【云鎖】在未知安全威脅檢測與查殺領域采用的先進技術。

　　吳康分析了常規的webshell檢測方法，并指出常規方法存在誤報率高、難以識別變形及加密webshell的弊端。吳康指出云鎖V3版在未知威脅檢測方面，采用基于腳本虛擬機(沙盒)的無簽名Webshell檢測技術，不依賴文本特征檢測，可以高效率檢測出加密、變形、未活動的webshell，目前已經完成asp、php、.net、java等多種腳本虛擬機構造，大幅度提高webshell的檢測效率和準確率。

[[170845]]

　　吳康也坦言，云鎖技術團隊在研發腳本虛擬機的過程中也遇到很多困難和挑戰，不過結合統計學、機器學習分類算法、深度優先算法等其他領域的技術，云鎖腳本虛擬機模塊的webshell識別率已經達到國際領先水準，云鎖即將上線的V3版將引入該項技術，大幅度加強云鎖對位置威脅的檢測和攔截能力。

　　除了基本腳本虛擬機(沙箱)外，云鎖還采用RASP技術和ASVE技術來檢測已知、未知安全威脅。RASP技術對應用系統的流量、上下文、行為進行持續監控，識別及防御已知及未知威脅，能有效防御SQL注入、命令執行、文件上傳、任意文件讀寫、反序列化、Struts2等基于傳統簽名方式無法有效防護的應用漏洞;云鎖***的虛擬化安全域技術(ASVE)，通過將應用進程放入虛擬化安全域內，限制應用進程權限，防止黑客利用應用程序漏洞提權、創建可執行文件等非法操作;而腳本虛擬機則是對前端兩道防御的補充和加固，可有效檢測各種加密、變形的Webshell。

　　本屆XCon已經順利拉下帷幕，但開放、共享的極客精神，會伴隨著XCon一起在業界成長、滋生。