牧云·云原生安全平台镜像 WebShell 检测系统是长亭牧云主机安全管理平台的底层文件检测引擎 guanshan 的集成项目,经历了数次版本迭代与实场演练。
WebShell 检测引擎支持检测 php、jsp、asp 三种文件类型,主要依赖了以下核心技术:
- 静态文本特征检测 通过大量文本特征对脚本内容进行快速模式匹配,可覆盖特征较为明显的 WebShell。
- 骨架哈希检测 通过词法分析、语法分析等算法对脚本文件进行解析,构建抽象语法树,对 AST 的关键语法特征进行哈希,可对抗隐藏文本特征的 WebShell 免杀方案。
- 静态语义分析检测 对脚本内容进行静态语义分析,通过恶意打分模型对文件内容进行评估,判断恶意程度较高的语义行为,可用于对抗自研的 WebShell 和无公开特征的 WebShell。
- 动态污点追踪检测 将脚本内容编译为虚拟机字节码,对字节码进行模拟执行,通过污点追踪算法分析程序外部输入和敏感函数调用的关联关系,最终判断外部输入是否有可能通过脚本传入敏感函数,可用于对抗高度混淆和高度变形过的 WebShell。
- 动态插桩内存检测 注入 Java 进程,Dump 关键内存数据,配合静态语义分析算法,用于检测动态注入的恶意脚本(内存型 WebShell)。
点击 /镜像安全/Webshell 进入 Webshell 事件列表页面,此列表展示扫描计划进行安全扫描后发现的所有安全事件结果详情。
您可以通过左上角切换镜像视角、事件视角进行查看筛选与统计。
单击事件名称可进入事件详情页面,提供事件信息、文件信息、镜像信息、检测详情模块进行查看。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
