【51CTO.com原創稿件】安全市場的各類產品比比皆是，但是敢于拿出來接受公眾測評的卻少之又少。然而，少并不代表無，近日就有一家安全廠商發起了公測活動。究竟哪家廠商如此有勇氣，敢于公測?公測又是什么產品呢?請您往下看。

百萬獎金池！青藤發起“雷火引擎”公測挑戰賽

在前不久青藤召開的媒體溝通會上，青藤正式宣布啟動“雷火引擎”公測挑戰賽活動，并設置了一百萬的獎金池，對于成功繞過引擎的黑樣本，每個給予最高1000元現金獎勵。

目前，青藤攜手業內22家互聯網公司 SRC，面向全國科研機構、高等院校、關鍵基礎設施單位、重保單位、安全企業、互聯網企業安全從業者、白帽英雄，舉辦賽事?；顒訄竺延?月20日正式開啟，5月11日正式開始，5月30日活動結束，并將于6月2日公布結果。(報名通道：https://thunderfire.qingteng.cn/)

也許有人會問了：“雷火引擎”究竟是個什么東東?別急，請聽筆者細細道來。

說起這個引擎，就要先聊聊一種很難被檢測到的后門，它就是WebShell，是一種文本文件，由Web Server運行環境解釋執行的。絕大多數黑客可通過Webshell長期穩定控制系統，對網絡中其他機器進行攻擊。而“雷火引擎”就是一款Webshell檢測引擎。為了證明該引擎的有效性，青藤發起了本次公測賽。

WebShell惡意程序感染事件居高不下，檢測困難

今年4月初，青藤云安全攜手中國產業互聯網發展聯盟(IDAC)、騰訊標準、騰訊安全，共同發布的《2019中國主機安全服務報告》數據顯示，2019年，全國企業用戶服務器病毒木馬感染事件超百萬起。其中WebShell惡意程序感染事件占73.27%，感染事件為近80萬起。從感染主機中，總共發現超1萬種木馬病毒，其中WebShell 約占27%。

WebShell的編寫語言靈活多變，寫法多種多樣，徹底分析難度高。WebShell一直是安全行業的痛點，其檢測極其困難。據青藤云安全創始人兼CEO張福介紹，當前針對WebShell的檢測方法主要有三種：靜態檢測、動態檢測，以及基于機器學習檢測。但從檢測效果來看，都不盡如人意。

比如靜態檢測方法，采用正則方法無法有效識別WebShell的變形和混淆;熵值分析準確度較差，而且很多業務會使用混淆來保護代碼，混淆不是WebShell判定的核心依據;由于WebShell可以無限變形，相似度匹配命中率很低;另外，采用抽象語法樹分析，雖然能夠分析代碼所有執行路徑，但是對于變形和混淆識別較差。

靜態檢測方法有弊端，那么動態檢測方法怎樣呢?在動態檢測方法中，沙箱的方式能有效解決變形或者混淆問題，但是分支執行不到，或者惡意數據沒有傳入就無法檢測;Web進程行為檢測的方式，對API調用無能為力，不調用system的檢測不了。

另外，無論采用機器學習還是深度學習，本質上都是靠已知樣本去學習樣本的特征，對于未見過的樣本識別較差，且解釋性差。

總之，這些傳統的檢測方式都可以檢測到部分WebShell，是弱對抗的檢測，檢測效果始終有天花板。黑客僅需更改能被檢測出的樣本，就能夠繞過檢測，讓以上檢測方法失效。

反混淆等價回歸，WebShell大殺器——雷火引擎

為了解決這一頑疾，青藤云安全建立了專門的研究團隊，基于多年的經驗積累，歷經一年多時間潛心研究，開發出了WebShell大殺器——雷火引擎。

張福表示，雷火引擎核心能力是反混淆等價回歸。該引擎使用了一種全新的檢測思路，不依賴正則匹配，而是通過把復雜的變形和混淆回歸成等價最簡形式，然后根據AI推理發現WebShell中存在的可疑內容。它具有三大功能優勢：云端輕量檢測、使用范圍廣、檢測精度深。

雷火引擎的原理是將靜態檢測方法與動態檢測方法相結合，既能夠有效解決變形和混淆問題，又能夠解決執行分支路徑不確定的問題，最終將WebShell進行有效的等價還原成最簡化的形式，然后根據AI推理發現WebShell中存在的可疑內容。雷火引擎使用了三大核心技術：抽象語法樹解析、AI推理、虛擬運算。

◆抽象語法樹解析：將腳本文件以樹狀的形式表現編程語言的語法結構，樹上的每個節點都表示源代碼中的一種結構。借助抽象語法樹找到腳本的所有可能執行路徑。

◆AI推理：借助與多種先進的技術手段，比如數據標記、代碼推理等，在腳本執行過程中，從多種執行路徑中找到最有可能惡意行為的代碼路徑。比如，原有代碼可能有5000行，而Webshell可能僅一行，往往難以被發現。而AI推理能夠把5000行代碼裁減成只有幾行，通過這幾行代碼做虛擬運算。

◆虛擬運算：虛擬運算是將腳本模擬真實環境中去運行得到結果，并在此過程中融入AI推理，從腳本中找到最佳執行路徑，將其有效等價還原。

不同于傳統Webshell檢測產品給出模糊性結果，再由人工去判斷，雷火引擎輸出的是確定性判斷——只有“是”或“否”，而根據AI推理如同人的判斷邏輯，完全依據Webshell的定義進行判斷，也無需依賴黑樣本數量來提升檢測精確度。

真金需要火來煉，“是騾子是馬，牽出來遛遛”

俗話說的好，真金還需要火來煉！真正能夠幫助用戶解決問題的產品，才能稱得上有價值的好產品。此次，青藤采用公開透明的方式，邀請各方高手測試從產品，也是秉承為用戶負責的態度。

實際上，青藤此前已面向一些頂尖白帽進行了定向邀測。測試中，“雷火引擎”得到了諸多大咖的廣泛贊許，Webshell“大殺器”之名也由此而來。

回想當初測試的情形，張福告訴記者，那時設置了小額紅包獎勵，每發現一個引擎無法檢測的Webshell，獎勵200現金紅包。當消息傳開，很多沒有收到邀請的白帽子也加入了測試。“在整個安全行業有個固有的認知，就是Webshell根本無法檢測，能檢測的都是公開的樣本，而一旦樣本稍做改動，就無法檢測了。因此，當時有很多白帽子的第一反應是，這個公司在吹牛，要去打臉，順帶‘薅羊毛’。”

然而，在整個測試過程中，這些白帽從開始的懷疑，轉為了感嘆，驚嘆于引擎的檢測能力。不僅如此，張福還觀察到，有些白帽高手提交的樣本達到了很高的境界，探究的是代碼的邏輯邊界，而不是靠撞運氣來繞道檢測。比如騰訊安全團隊提交的樣本，探究到引擎的BUG。最終，這次測試少有人逃過引擎的檢測。

此次公測，“我們為了比賽更加的公平公正，邀請了22位業內專家，包含北理工、深交所、微眾銀行、騰訊、漏洞銀行等公司的資深專家、教授組成裁判組，為各Webshell繞過打積分，我們把最終的裁判權力交給了裁判組裁定。”張福說到。

他坦言，雖然最后有可能會測試出不少問題，但是至少青藤勇于嘗試，“是騾子是馬牽出來溜溜”。“我們希望引領風氣，把產品公開接受檢驗。希望給整個安全行業帶來積極改變，讓更多的廠商愿意在核心產品和技術上持續投入。”

其實，此次公測賽看似是一場單純的產品公測活動，實則對安全產業的發展有著十分積極的意義：對行業來說，打破業內安全產品不愿意接受公測的現狀，樹立安全行業新風;對白帽子來說，磨練他們的技術和能力，提供了一個大型展示的舞臺;對社會來說，集合行業智慧，真正解決了WebShell的頑疾，樹立WebShell檢測新高度，為互聯網安全賦能;對國家來說，培養和選拔安全人才，助力國家新基建安全，筑牢國家安全防線。

采訪最后，張?？偨Y說：“青藤的目標是希望給行業做出重要貢獻，希望能夠推動安全行業的改革和發展。當初，也正是抱著這樣的理念，創建了青藤這家公司。我們的特點是永遠站在時代的前沿，面向未來做新的產品和技術，解決行業中真正難以解決的問題，這是我們跟別人很不一樣的地方。”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】