近日,阿里云上线了社区版WebShell&二进制病毒检测平台,首次将阿里云·云安全中心商业化产品中核心的反病毒与恶意文件检测引擎面向社区用户开放。
无论是企业用户、网络攻防验证常态化下的安全运营人员、白帽子,亦或是网络安全爱好者,都可以很方便地通过网页共享阿里云在主机与容器安全检测方面打磨出的核心能力;同时,通过API接入的方式,用户也可以轻松将伏魔引擎检测平台集成到自己的生产环境中,最小成本地提升各自的安全运营效果。
扫描下方二维码或
直接复制访问链接 https://ti.aliyun.com
即刻体验
云上和云下攻防态势的不断演进,服务器安全威胁日益严峻。社区版的发布,旨在借助更多安全行业从业者,汇聚来自不同地方、不同部门、不同院校的同行和研究员,通过行业生态的力量,大幅提高黑灰产的利用门槛,从而改变当前攻防博弈不对称的局面。
2000+白帽实战验证
反病毒和恶意代码检测是企业安全体系建设中一个非常核心也非常基础的环节,尤其webshell和二进制病毒,不仅是危害企业工作负载的大杀器,其检测难度也令诸多企业感到棘手。
目前,整个恶意代码检测领域,缺乏权威的测评认证,导致各家厂商在POC测试中,用的样本集都是自己精心准备的,此类样本在类型和对抗度方面都具有明显的倾向性,导致测试结果缺乏客观性,难以得到行业的一致认可。
在此现状下,实战不失为一种提升检测引擎对抗强度,同时保证检测结果公正的最有效手段。从2020年3月开始至今,阿里云已累计举办了5届恶意文本检测挑战赛,吸引了2000+各领域对抗专家和白帽子,贡献对抗样本超十万例。
在2022年1月24日结束的赏金挑战赛中,排名Top3同学被授予“恶意文本检测大师”并加入“阿里云云安全中心名人堂 ”。
WebShell对抗样本检出率超99%
阿里云WebShell检测为多引擎架构,支持对PHP、JSP、ASP等多种web脚本类后门的检测。多引擎集成了静态匹配检测能力、动态模拟执行能力、动态沙箱检测能力以及异常启发式检测能力。
核心能力1. 动态沙箱还原真实 平衡漏误报
静态匹配检测能力难以覆盖混淆、编码、加壳等样本,需要动态提取出样本特性从而进行检测。伏魔引擎集成了PHP、JSP、ASP动态沙箱,对混淆类样本进行解码、脱壳,还原其真实的恶意载荷进行检测。
动态沙箱还有一个优势,静态检测无法对脚本进行约束,不符合词法、语法的样本也会被检测出来,动态沙箱需要样本真实运行,极大的平衡了漏报和误报。
核心能力2. 模拟污点执行 不惧高强度对抗
攻击者会构造样本对抗动态沙箱,让样本无法在沙箱中正常运行。面对这种高级对抗情况,我们打磨出模拟污点执行引擎,采用推理式的手段让污点继续传递至危险函数内,从而检出。
从公开众测表现来看,WebShell多引擎检测在面向实战对抗样本的测评中,对顶尖白帽子构造的高级对抗样本检出率高达99%+,对Github等公开可搜集的WebShell样本集,检出率亦超过99%。
二进制检测:AI+多引擎决策
在二进制恶意代码检测后端,引擎采用的是多引擎综合决策的技术方案。
集成了多款商业杀毒引擎的能力优势,并通过自建的高级威胁专杀引擎、样本变种追踪引擎、静态特征匹配引擎、云沙箱补齐商业引擎之间的能力缺失,最后使用AI模型对检出结果进行智能判别。
商业化引擎与实战对抗引擎能力互补,在保证了检出率的同时有效控制误报,还具备精细化的样本分类和家族的命名标签。
首创「跑分测评」能力矩阵
历时2年多的对抗打磨,阿里云首次提出「跑分测评」理念的技术能力矩阵。检测引擎收取并针对上千种高级对抗技巧展开研究,不断从方法论层面解决绕过样本,从响应时效性、结果呈现丰富度、检测对抗强度、误报控制能力、文件类型支持范围和API便利度6个维度全面考量并优化引擎的检测能力和易用性。
在众多指标中,“检测对抗强度”和“误报控制能力”是使用者最能直观感知到的一个指标,同时也是市面上各类检测引擎普遍存在的短板。我们对业内知名恶意文件检测能力进行测试,发现大多数引擎因没有接受过外部白帽生态的对抗,对高级绕过样本的检出有限。还有一些引擎过度追求高检出,牺牲了误报率,可用性极低。
上述两个维度,恰恰是阿里云主机安全检测引擎作为业内领先恶意文件/病毒检测技术所具备的独特的核心能力,也希望此次社区版平台开放,可以成为企业高效检测强对抗性Webshell恶意脚本与二进制病毒的利器。
为提升检测效率和效果,阿里云在每一个维度上都对跑分结果设置了严格的测算公式。
以“引擎对抗强度”这一指标为例,检测引擎的跑分结果与总测试样本数和有效绕过样本数的比值呈正相关关系,同时也对样本对抗算法、参与对抗挑战的人数、赏金额度设置严格的“最优效果范围”指标。严格的测算标准为检测引擎能够在多维度上得出一个跑分较高且符合市场安全检测需求的结果负责。
安全产品能力的提升,关键还得靠实战,经得起攻守博弈,才能夯实网络安全基础。未来,随着主机与容器攻防态势的发展和用户需求的变化,社区版检测引擎还将进一步提升API开放程度和检测结果的丰富性,并将陆续免费开放更多安全原子化能力。希望通过不断积累,举一反三,与业界携手共同提升整体安全水位。
发表评论
您还未登录,请先登录。
登录