谢仲良

近年来，随着连网计算机数量的增多和互联网普及水平的提高，人们的工作效率得到了有效地的提升，但同时，网络病毒的数量日益增多，信息安全也迅速成为当下业界高度关注的一个问题。

在今年9月1日至3日举行的中国互联网大会上，业界的专家和厂商代表还专门召开了一场有关网络安全新技术的论坛。在此次论坛上，国家计算机网络应急技术处理协调中心副总工程师云晓春就网络病毒的现状及发展趋势进行了全面和独到的分析。

网络病毒危害增强

网络病毒是具有主动网络行为能力，对信息系统产生安全威胁的所有恶意代码的总和，这些网络行为包括病毒的扫描、病毒的攻击、病毒的链接等等。

研究发现，近年来网络病毒的增长速度非常惊人。据统计，从1986年到2000年，全世界出现了近2万种病毒，但2000年以后，病毒开始出现大幅增长的趋势，到2005年，病毒接近10万种。截止到2005年7月1日，全球的网络蠕虫数量已经达到了5376种。另外，攻击的级别和种类，包括病毒、蠕虫、网络诈骗和内部攻击呈持续增长状态，年增长率超过20％，个人电脑遭受病毒感染的几率从1996年的1％上升到了2003年的10％。

根据国家计算机网络应急技术处理协调中心副总工程师云晓春的研究和总结，目前网络病毒的发展呈现出以下几个特点：第一，主动通过网络和邮件系统传播，而且传输速度很快，瞬间就能传遍世界；第二，网络病毒的变种越来越多，很多病毒使用高级语言编写，很容易修改，一旦在网络中传播，不但难于控制，而且难于根治，容易引起多次疫情，严重危害网络资源和信息资源；第三，当前攻击的手段越来越高，但攻击的水平变得越来越低，几乎专业水平很差的人，就能够编写出相应的网络病毒；第四，病毒的制造者队伍变得越来越可怕，病毒的编写方式已经从单兵作战变为团队网络化写作，大量DIY蠕虫出现。而且网络病毒在最初出现的时候，是没有明确的经济利益的，但现在为了明确的经济利益导致了大量的病毒出现，而且慢慢形成了庞大的分布式体系，展开强大的攻击。

防治理念急需转变

“当前，互联网提供了普遍互联的便利，但是这种普遍存在的互联也导致了其脆弱性的一面，为病毒提供了一条方便之路。”云晓春在分析网络病毒泛滥的原因时说。

云晓春指出，这种状况与当前业界对防治网络病毒所采取的理念有关系。当前，主流的国内厂商对病毒的防治基本上采取的是一种“以点带面”的措施，即通过对个体病毒的清除实现对全网病毒的清除。但是在整个互联网环境下，这种理念是有局限性的。很关键的一点就是互联网本身是一个复杂的庞大系统，在这样的环境下，当前的防治措施很难根除整个的网络病毒。

目前，所采取的防护措施基本上是有漏洞打补丁，然后再升级。云晓春认为，这种“打补丁”不是一种有效的解决方法，而且这种自动升级，本身就存在很大的缺陷。因此，云晓春主张换个思路来研究网络病毒。“因为无论是计算机病毒、还是生物病毒，都认为是很难被扼杀的。要用网络的思想，研究网络不确定性的规律，研究病毒在网络上的扩散行为，不但要考虑个体的防护，还要从宏观的层面上来分析病毒的分布情况。一旦病毒在全网蔓延开来以后，采取什么样的策略，我们认为应该有一个整体的策略来考虑。”云晓春说。

病毒防治注重全局

云晓春认为，网络病毒的防治，要有一个整体的观念。具体来讲，应该点面结合，个体自我保护，全局综合调度。通过防火墙，实现对单机系统和区域网络病毒的最大化清除；通过VDS形成网络病毒在网络传播上的全局视图，实现对网络中感染主机、病毒传播途径的定位和新增病毒异常行为的检测；通过病毒对抗实现对感染主机病毒的主动清除。

云晓春指出，对于网络病毒的防护措施主要是以防护为主，但是除此之外，还要有相应的检测、响应及隔离能力。在大规模网络病毒爆发的时候，能够通过病毒源的隔离，把疫情降到最低，对于残留在网络上的病毒，人们也要有相应的处理能力。

在网络病毒检测方面，云晓春主张采取内容级和行为级的综合检测。首先，内容级检测方面，根据病毒程序的特征码判定网络病毒的攻击行为。其次，行为级检测方面，根据网络病毒程序的异常行为进行检测，比如从数据流量的大小和流量的曲线变化上来判定病毒的爆发。另外，还可以采取基于用户访问兴趣的行为异常检测。

随着大规模网络病毒的爆发，人们需要做的就是尽快地对网络病毒进行隔离。但是怎么样才能实现自动化的病毒隔离呢？云晓春认为可以采用末端隔离的方法来实现对疫情的有效控制。云晓春解释，这种末端隔离的方法是以将病毒源隔离在最后范围内作为疫情控制的主要目标，主要是利用互联网动态路由扩散的特性，实现顶层配置，末端生效。“我们可以基于互联网的这种特性，实现顶层的配置，国家顶层发现这个病毒以后，然后在各个网上进行配置，对于某个病毒源，指向一个作废的端口。而对于动态IP，可以通过协议控制的方法来实现。”云晓春说。

法律及技术障碍

在病毒的防治过程中，云晓春认为目前还存在着一些法律和技术方面的障碍。法律上的障碍在于A机是否有权向B投送代码。在现实世界中，如果是某一个强盗入室犯罪以后，只有警察有权进入制止。因此，对于网络病毒，是不是国家的执法部门有权投送良性病毒？

技术障碍包括两点：第一，良性病毒的可控性问题。众所周知，冲击波病毒出现以后，导致的结果是出现了变种冲击波杀手，对网络造成的危害更大。由于冲击波病毒没有得到有效控制，遭到其他人的恶意修改，比如增加破坏性程序段、修改原有停止时间、修改扫描频率和强度等，从而使良性病毒变成恶性病毒。

第二，网络病毒对抗对网络的影响问题。良性病毒的扩散同样会消耗网络资源，控制不好反而会造成更大的疫情。为了遏止网络病毒的危害，人们已经采取了许多相应的反病毒技术，但是这些技术慢慢地出现了不适应现实需要的问题。云晓春强调，为了保证互联网健康有序的发展，人们必须开放性地研究新的策略，研究出新的防病毒技术。