为期两天的XCon2016在北京诺金酒店圆满落下帷幕，这场信息安全技术盛宴吸引了国内外众多信息安全专家、信息安全工作者、信息安全爱好者，多位业界顶尖专家分享了他们的最新研究成果。椒图科技天择实验室吴康在XCon上分享了主题演讲《利用脚本虚拟机检测WebShell》，以ASP脚本虚拟机为例，首次向业界分享【云锁】在未知安全威胁检测与查杀领域采用的先进技术。

吴康分析了常规的webshell检测方法，并指出常规方法存在误报率高、难以识别变形及加密webshell的弊端。吴康指出云锁V3版在未知威胁检测方面，采用基于脚本虚拟机（沙盒）的无签名Webshell检测技术，不依赖文本特征检测，可以高效率检测出加密、变形、未活动的webshell，目前已经完成asp、php、.net、java等多种脚本虚拟机构造，大幅度提高webshell的检测效率和准确率。

吴康也坦言，云锁技术团队在研发脚本虚拟机的过程中也遇到很多困难和挑战，不过结合统计学、机器学习分类算法、深度优先算法等其他领域的技术，云锁脚本虚拟机模块的webshell识别率已经达到国际领先水准，云锁即将上线的V3版将引入该项技术，大幅度加强云锁对位置威胁的检测和拦截能力。

除了基本脚本虚拟机（沙箱）外，云锁还采用RASP技术和ASVE技术来检测已知、未知安全威胁。RASP技术对应用系统的流量、上下文、行为进行持续监控，识别及防御已知及未知威胁，能有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2等基于传统签名方式无法有效防护的应用漏洞；云锁独创的虚拟化安全域技术（ASVE），通过将应用进程放入虚拟化安全域内，限制应用进程权限，防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作；而脚本虚拟机则是对前端两道防御的补充和加固，可有效检测各种加密、变形的Webshell。

本届XCon已经顺利拉下帷幕，但开放、共享的极客精神，会伴随着XCon一起在业界成长、滋生。