■本刊记者 赵志远

Webshell可以说是当今最流行的恶意攻击方式之一，是网络安全领域特别是威胁Web服务器安全的一大顽疾。攻击者利用Webshell来控制企业网站服务器，会给企业带来极大安全风险。

WebShell攻击猖獗，检测是难点

根据近期青藤云安全与中国产业互联网发展联盟、腾讯标准、腾讯安全共同发布的《2019中国主机安全服务报告》数据显示，2019年，全国企业用户服务器病毒木马感染事件超百万起，其中Webshell恶意程序感染事件占73.27%。

Webshell攻击不仅对于客户来说是个难题，对于专业安全厂商也是不小的挑战。据青藤云安全创始人兼CEO张福介绍，在我国安全行业发展20年的历程中，Webshell由于编码简单、使用便捷、千变万化等特点，如何进行有效检测始终是安全工作人员头疼的难题。

当前针对Webshell的检测方法无外乎静态检测、动态检测，以及基于机器学习检测，但从检测效果来看，都不尽如人意。为了能够更好地理解Webshell检测的核心问题，让我们先来看看这几种检测方法的问题所在：

其中静态检测方法中，通过正则方法无法有效识别Webshell的变形和混淆；而熵值分析准确度较差，而且很多业务会使用混淆来保护代码；因为Webshell可以无限变形，相似度匹配方式检测的命中率很低；抽象语法树分析对于变形和混淆识别较差。

在动态检测方法中，沙箱方式能有效解决变形或者混淆问题，但是分支执行不到，或者恶意数据没有传入就无法检测；Web进程行为检测对API调用无能为力，不调用System的检测不了。

此外，无论采用机器学习还是深度学习，本质上还是靠已知样本去学习样本的特征，对于未见过的样本识别较差，且解释性差。

总而言之，传统对Webshell的检测方法都无法有效解决问题。张福表示，这些方法始终存在天花板，黑客只需要把样本略做更改，就能够轻易绕开检测，传统方法只能检测到一部分的Webshell，但是做不到对抗，是属于弱对抗的检测。这是安全行业的现状，这种现状亟需改变。

雷火引擎，另辟蹊径，抓住WebShell的“命门”

解决问题最关键的做法是抓住问题的本质，在经过青藤云安全专家们的头脑风暴之后认为，Webshell之所以难以检测，不就是因为它的动态混淆能力吗？如果有一种方法可以裁减掉多余的分支，并将其等价还原成最简化的形式，那么这个难题也不是不可能攻克的。于是，一种全新的Webshell检测产品诞生了。

青藤云安全专门针对Webshell检测研发出雷火引擎，将静态检测方法和动态检测方法相结合，既能够有效解决变形和混淆问题，又能够解决执行分支路径不确定问题，最终将Webshell进行有效的等价还原成最简化的形式，然后根据AI推理发现Webshell中的可疑内容。

这里面涉及到三种技术。首先是做抽象语法树解析找到脚本的所有可能执行路径，这一步实现起来并不困难。第二步是做AI推理，这是雷火引擎的难点，也是核心价值所在。AI推理是把所有的代码可能性全部推演出来，裁减掉认为跟恶意行为无关的代码，化繁为简，从多种执行路径中找到最佳执行路径。比如说，客户的代码可能有5000行，而Webshell可能就只有一行，往往难以被发现，AI推理能够把5000行代码裁减成只有几行，通过这几行代码做第三步的虚拟运算，将脚本模拟真实环境中去运行，从而得到最终结果。

不同于传统Webshell检测产品给出模糊性结果，再由人工去判断，雷火引擎输出的是确定性判断——只有“是”或“否”，而根据AI推理如同人的判断逻辑，完全依据Webshell的定义进行判断，也无需依赖黑样本数量来提升检测精确度。

张福这样评价雷火引擎：“这是历史性的突破，它使得我们对Webshell的检测能力提升到全新的高度。”当然说出这样的话是有底气的。张福介绍，去年，青藤云安全首先尝试做了4次内部的对抗测试，直到公司内部安全专家已经没有办法突破雷火引擎的防线。之后青藤云安全又定向邀请业内顶级白帽子，对目标发起Webshell攻击，也少有能逃过雷火引擎的检测。

一场“有勇气”的公开测评

实践是检验真理的惟一标准，一项新产品是否具有突破性必须能经受住实践检验。雷火引擎在经过内测阶段之后，青藤云安全又做出更大胆的举动——联合国内22家企业SRC共同举办线上公开挑战赛，并设置了100万的奖金池。

从此次举办挑战赛可以看出，青藤云安全不仅仅是产品测评这么简单，更能突出一种勇气。一般来说，一项产品的技术性问题交给专业测评机构去做，然后再拿测评结果推向市场，用数字证明自己的产品有多么优秀，而直接将产品拿到市场来做公开测评毕竟是有风险的。按青藤云安全自己的话说：“安全市场上的各类产品比比皆是，愿意接受公众测评的却凤毛麟角”。

用实际攻防，而非冷冰冰的测评数字对产品进行验证，是青藤云安全带给安全圈的一大创举。

另一方面，公开测评也是不断完善自身产品的一次绝佳机会，通过与业界顶级白帽子合作，能够很好地找出雷火引擎的不足。

张福表示：“青藤云安全是面向未来做产品，去解决当前安全领域中真正难以解决的问题，为推动安全产业的发展贡献力量。”