[计世网 消息]2008年9月24日。新世纪饭店的一间小会议室里，坐着两位院士，几位司局级信息安全专家，还有国家863计划的某个课题组长，还有几位机要部委负责信息安全的处长们。 

两台不同电脑开始演示。一个技术人员从网上找到一个木马，下载之后，控制了另一台电脑。屏幕上清楚地显示，一台电脑被完全监控。随后，监控程序甚至打开了另一台电脑上的摄像头。更惊人的是，像这样的程序，可以同时监控多台电脑，如同我们在电视上看到的路况监控台。

而这台被控制的电脑里已装上的杀毒软件居然毫无察觉。

这样的事情很多。一位电子政务的处长说，“信息安全问题严重性越来越大，发现的问题都不是小事”。他说的不是个人用户，而是，政府部门信息系统。

这是在，国家863计划“基于程序行为自主分析判断的实时防护技术”课题组召开的“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会上的一幕。

百万“肉鸡”

上网搜一下，你就可以看到各种“黑客”报价，诸如，一万只“肉鸡”叫卖1000元——大约每只“肉鸡”0.1元。所谓“肉鸡”，简单解释是指在互联网上被黑客远程控制的电脑。被远程控制有的有如上面所描述的被完全监控，打开摄像头。而更多的是，长期潜伏。监控用户动作窃取一切有价值的东西，诸如密码，虚拟财产，个人隐私等等。甚至，还有一些是被控制的计算机属于僵尸网络，通过攻击网络进行敲诈。

例如，媒体报道，有人利用木马病毒偷拍下夫妻生活，敲诈5000元。再例如，媒体报道，有人在网上花70元购买的病毒，2小时内窃取到3万元。

“现在互联网上，被秘密控制的电脑已经达到数百万台”，国家863计划“基于程序行为自主分析判断的实时防护技术”课题组组长、著名反病毒专家刘旭对记者表示，病毒的趋利性正在变得日益明显。刘旭分析，“肉鸡之所以卖得这么便宜，正是因为数量巨大”。

例如，有人在网上花70元购买的病毒，2小时内窃取到3万元。

国家计算机网络应急技术处理协调中心统计显示，2007年监测到中国内地有90万个IP地址主机被植入木马，比2006年增加21倍。另外，2007年的抽样监测发现，内地有360万个IP地址主机被植入了僵尸程序，2007年各种僵尸网络被用来发动拒绝服务攻击一万多次，发送垃圾邮件110多次，实施信息窃取操作3900多次。调查发现，黑客如果利用僵尸网络对某一个特定的目标实施拒绝服务攻击的话，破坏力将会更强，互联网数据中心IDC机房很容易遭遇类似的攻击。目前，我国监测到最大规模的僵尸网络达到了129万个僵尸节点。

在中国互联网上，有数百万。

专家说，“这个数据还是保守估计”。

病毒“行销增值一条龙”

现在，这种获利性病毒已经形成了一条完整的产业链，有专门从事生产的病毒制造者，他们只管生产病毒，有下家接手。

有控制大量“肉鸡”兜售“市场”的专业“分销商”。他们不从事具体破化和窃取，只是贩卖“渠道”，贩卖大量“肉鸡”给那些需要作恶的人，这算是“批发业务”。

有专门从事最终渠道的兜售者，他们像零售商一样。

有花钱买来作恶的病毒最终“消费者”，他们利用买来的病毒进行破坏，窃取，敲诈，攻击。

更离谱的是，还有专业的病毒制作“培训”。这一切都是公然在互联网上进行，网民可以以很低的成本获取。

这种病毒趋利化的趋势，不仅危及到了个人用户的利益，更对国家信息安全和信息化造成了威胁。与会的电子政务专家陈拂晓指出，一年多以来，我国政府遇到的泄密事件里面，有相当多是由于木马盗窃泄露出去的。陈拂晓表示，出于对泄密的担忧，一些新的应用开发不得不被停止，“这产生的结果，就是严重影响了国家的信息化。”

杀毒软件“死了”

“基于原来原理的杀毒软件每天都要升级特征码，这个受不了。现在是不升级，而是升级了实际上也没有多少用”。来自中办秘书局一位负责信息系统的处长说。

“作为我们来讲，受病毒侵害很深。我们觉得互联网的问题严重性越来越大，发现的问题都不是小事”。国务院办公厅电子政务办公室的刘慈副处长也深有感受。

同样忧心忡忡的还有财政部信息网络中心运营维护处的赵晓光处长，以及国家保密局攻防实验室的相关负责人。本报记者在“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会上看到，这样的担忧已经很普遍，基本达成共识。

他们，都是信息安全技术的“关键”用户。

“反病毒软件非常容易被攻破”，得出这一结论是来自美国SonomaState大学的教授GeorgeLedin，他带领自己的学生们模拟“黑客”进攻，这一切都是在学校内部的封闭网络进行的，以防止危害互联网，实验结果是，绝大多数杀毒软件本身是没有什么用。

根据瑞星公司今年发布的研究报告，黑客利用加壳等手段产业化、自动化生产病毒成为趋势，使得病毒数量暴增，一个熟练的病毒工程师每天可以分析40到50个样本，但目前每天出现在网上的病毒样本平均是3000到4000个。这样的生产速度，几乎已经达到了厂商捕获和分析能力的极限。

今年年初，国内三大杀毒软件厂商——江民、金山、瑞星都先后推出2007年年度安全报告，都提出，传统杀毒软件技术难以防范新病毒。而在赛门铁克的用户大会上，专家也认为，“杀毒软件将死”。

“现有的杀毒技术非常脆弱。”刘旭说，“现在用户的计算机已经很少没有安装杀毒软件，但是超过千万台的计算机被黑客控制，而这些‘肉鸡’和‘僵尸’上安装的杀毒软件却对病毒视而不见。”

“所有的杀毒软件都是跟着病毒跑，滞后于病毒。”在中国工程院院士倪光南看来，反病毒产业发展到当前，“跟着病毒跑的话，特征库也会越来越大，将来扫描起来可能需要很长时间，所以我觉得需要创新。”

主动防御真假论

随着“杀毒软件将死”的论断被普遍认可，全球信息安全厂商也纷纷开始“主动防御”的探索，但迄今为止，国际上没有纯粹的主动防御产品，很多杀毒软件里的“主动防御”功能频繁误报使得用户反馈不好，甚至对主动防御产生误解。这让杀毒软件厂商只能把“主动防御”作为缺省“不使用”。

“目前国内外杀毒软件提供的所谓主动防御功能，实际上还只是处于主动防御的初级阶段”，刘旭在研讨会上分析，“举一个很常见的例子，在使用某款号称具有智能主动防御功能的产品时，经常会遇到‘有程序正在向您的计算机设置全局挂钩，是否允许’之类的提示。什么叫全局挂钩？一般用户可能不理解，也就无从选择。用户使用杀毒软件，就是将杀毒防毒的工作交给软件，现在反而要自己进行判断，这是不合理，更是不负责任的。现在的杀毒软件越来越像‘高手’专用的，表面上是易用性不足，实际上是这些产品还没有真正成熟的主动防御技术。”

主动防御技术是依据程序行为，自主识别和判断程序是否是病毒的一项反病毒新技术。它通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼出病毒识别规则知识库；模拟专家发现新病毒的机理，通过分布在用户计算机系统上的各种探针，动态监视程序运行的动作，并将程序的一系列动作通过逻辑关系分析组成有意义的行为，再结合应用病毒识别规则知识，实现对病毒的自动识别。刘旭认为，主动防御技术是解决目前病毒危害比较理想的反病毒技术。

根据微点公司对近百万种病毒的测试表明，微点主动防御软件能够有效防范99%以上的未知病毒。

“我们组织了专家对微点软件进行检测，检测后我们认为技术层面上是很好的，是个很了不起的成果” 中国工程院院士周仲义对微点主动防御技术给予高度评价。“国家863每个课题都有七到八个，从反病毒角度来说，我们布置的不多，所以你们拿到863课题，说明专家对微点的技术方案、技术思路，是认可的。”国家863计划信息安全技术主题专家组组长、首席专家冯登国教授说，“863计划十一五要总结出很多亮点，希望这个能够作为一个亮点被总结。”

肩负财政部信息安全重责的赵处长说，“觉得有了新的希望”。

研讨会现场图（全景）