近日,阿里雲上線了社區版WebShell&二進制病毒檢測平台,首次將阿里雲·雲安全中心商業化產品中核心的反病毒與惡意文件檢測引擎面向社區用戶開放。
無論是企業用戶、網絡攻防驗證常態化下的安全運營人員、白帽子,亦或是網絡安全愛好者,都可以很方便地通過網頁共享阿里雲在主機與容器安全檢測方面打磨出的核心能力;同時,通過API接入的方式,用戶也可以輕鬆將WebShell&二進制病毒引擎檢測平台集成到自己的生產環境中,最小成本地提升各自的安全運營效果。
掃描下方二維碼或直接複製訪問鏈接https://ti.aliyun.com即刻體驗
雲上和雲下攻防態勢的不斷演進,服務器安全威脅日益嚴峻。社區版的發布,旨在藉助更多安全行業從業者,匯聚來自不同地方、不同部門、不同院校的同行和研究員,通過行業生態的力量,大幅提高黑灰產的利用門檻,從而改變當前攻防博弈不對稱的局面。反病毒和惡意代碼檢測是企業安全體系建設中一個非常核心也非常基礎的環節,尤其Webshell和二進制病毒,不僅是危害企業工作負載的大殺器,其檢測難度也令諸多企業感到棘手。目前,整個惡意文件與代碼檢測領域,缺乏權威的測評認證,導致各家廠商在POC測試中,用的樣本集都是自己精心準備的,此類樣本在類型和對抗度方面都具有明顯的傾向性,導致測試結果缺乏客觀性,難以得到行業的一致認可。在此現狀下,實戰不失為一種提升檢測引擎對抗強度,同時保證檢測結果公正的最有效手段。從2020年3月開始至今,阿里雲已累計舉辦了5屆惡意文本檢測挑戰賽,吸引了2000+各領域對抗專家和白帽子,貢獻對抗樣本超十萬例。
在2022年1月24日結束的賞金挑戰賽中,排名Top3同學被授予「惡意文本檢測大師」,並加入「阿里云云安全中心名人堂 」。阿里雲WebShell檢測為多引擎架構,支持對PHP、JSP、ASP等多種web腳本類後門的檢測。多引擎集成了靜態匹配檢測能力、動態模擬執行能力、動態沙箱檢測能力以及異常啟發式檢測能力。靜態匹配檢測能力難以覆蓋混淆、編碼、加殼等樣本,需要動態提取出樣本特性從而進行檢測。引擎集成了PHP、JSP、ASP動態沙箱,對混淆類樣本進行解碼、脫殼,還原其真實的惡意載荷進行檢測。動態沙箱還有一個優勢,靜態檢測無法對腳本進行約束,不符合詞法、語法的樣本也會被檢測出來,動態沙箱需要樣本真實運行,極大的平衡了漏報和誤報。攻擊者會構造樣本對抗動態沙箱,讓樣本無法在沙箱中正常運行。面對這種高級對抗情況,我們打磨出模擬污點執行引擎,採用推理式的手段讓污點繼續傳遞至危險函數內,從而檢出。從公開眾測表現來看,WebShell多引擎檢測在面向實戰對抗樣本的測評中,對頂尖白帽子構造的高級對抗樣本檢出率高達99%+,對Github等公開可搜集的WebShell樣本集,檢出率亦超過99%。在二進制惡意代碼檢測後端,引擎採用的是多引擎綜合決策的技術方案。集成了多款商業殺毒引擎的能力優勢,並通過自建的高級威脅專殺引擎、樣本變種追蹤引擎、靜態特徵匹配引擎、雲沙箱補齊商業引擎之間的能力缺失,最後使用AI模型對檢出結果進行智能判別。商業化引擎與實戰對抗引擎能力互補,在保證了檢出率的同時有效控制誤報,還具備精細化的樣本分類和家族的命名標籤。歷時2年多的對抗打磨,阿里雲首次提出「跑分測評」理念的技術能力矩陣。檢測引擎收取並針對上千種高級對抗技巧展開研究,不斷從方法論層面解決繞過樣本,從響應時效性、結果呈現豐富度、檢測對抗強度、誤報控制能力、文件類型支持範圍和API便利度6個維度全面考量並優化引擎的檢測能力和易用性。
在眾多指標中,「檢測對抗強度」和「誤報控制能力」是使用者最能直觀感知到的一個指標,同時也是市面上各類檢測引擎普遍存在的短板。我們對業內知名惡意文件檢測能力進行測試,發現大多數引擎因沒有接受過外部白帽生態的對抗,對高級繞過樣本的檢出有限。還有一些引擎過度追求高檢出,犧牲了誤報率,可用性極低。上述兩個維度,恰恰是阿里雲主機安全檢測引擎作為業內領先惡意文件/病毒檢測技術所具備的獨特的核心能力,也希望此次社區版平台開放,可以成為企業高效檢測強對抗性Webshell惡意腳本與二進制病毒的利器。為提升檢測效率和效果,阿里雲在每一個維度上都對跑分結果設置了嚴格的測算公式。以「引擎對抗強度」這一指標為例,檢測引擎的跑分結果與總測試樣本數和有效繞過樣本數的比值呈正相關關係,同時也對樣本對抗算法、參與對抗挑戰的人數、賞金額度設置嚴格的「最優效果範圍」指標。嚴格的測算標準為檢測引擎能夠在多維度上得出一個跑分較高且符合市場安全檢測需求的結果負責。安全產品能力的提升,關鍵還得靠實戰,經得起攻守博弈,才能夯實網絡安全基礎。未來,隨着主機與容器攻防態勢的發展和用戶需求的變化,社區版檢測引擎還將進一步提升API開放程度和檢測結果的豐富性,並將陸續免費開放更多安全原子化能力。希望通過不斷積累,舉一反三,與業界攜手共同提升整體安全水位。如需API方式接入,請聯繫「阿里雲安全」公眾號,我們會為您對接專業的技術支持人員。阿里雲正在熱招安全工程師,歡迎同學們前來投遞簡歷。面向人群:畢業時間22年11月-23年10月的同學簡歷投遞:eternal@list.alibaba-inc.com,或描下方長圖二維碼登錄阿里巴巴集團校園招聘官網Offer發放:春招發實習offer,轉正後發正式校招offer。
留言列表