如何用立體解決方案應對網絡病毒？

謝仲良

近年來，隨著連網計算機數量的增多和互聯網普及水平的提高，人們的工作效率得到了有效地的提升，但同時，網絡病毒的數量日益增多，信息安全也迅速成為當下業界高度關注的一個問題。

在今年9月1日至3日舉行的中國互聯網大會上，業界的專家和廠商代表還專門召開了一場有關網絡安全新技術的論壇。在此次論壇上，國家計算機網絡應急技術處理協調中心副總工程師云曉春就網絡病毒的現狀及發展趨勢進行了全面和獨到的分析。

網絡病毒危害增強

網絡病毒是具有主動網絡行為能力，對信息系統產生安全威脅的所有惡意代碼的總和，這些網絡行為包括病毒的掃描、病毒的攻擊、病毒的鏈接等等。

研究發現，近年來網絡病毒的增長速度非常驚人。據統計，從1986年到2000年，全世界出現了近2萬種病毒，但2000年以后，病毒開始出現大幅增長的趨勢，到2005年，病毒接近10萬種。截止到2005年7月1日，全球的網絡蠕蟲數量已經達到了5376種。另外，攻擊的級別和種類，包括病毒、蠕蟲、網絡詐騙和內部攻擊呈持續增長狀態，年增長率超過20％，個人電腦遭受病毒感染的幾率從1996年的1％上升到了2003年的10％。

根據國家計算機網絡應急技術處理協調中心副總工程師云曉春的研究和總結，目前網絡病毒的發展呈現出以下幾個特點：第一，主動通過網絡和郵件系統傳播，而且傳輸速度很快，瞬間就能傳遍世界；第二，網絡病毒的變種越來越多，很多病毒使用高級語言編寫，很容易修改，一旦在網絡中傳播，不但難于控制，而且難于根治，容易引起多次疫情，嚴重危害網絡資源和信息資源；第三，當前攻擊的手段越來越高，但攻擊的水平變得越來越低，幾乎專業水平很差的人，就能夠編寫出相應的網絡病毒；第四，病毒的制造者隊伍變得越來越可怕，病毒的編寫方式已經從單兵作戰變為團隊網絡化寫作，大量DIY蠕蟲出現。而且網絡病毒在最初出現的時候，是沒有明確的經濟利益的，但現在為了明確的經濟利益導致了大量的病毒出現，而且慢慢形成了龐大的分布式體系，展開強大的攻擊。

防治理念急需轉變

“當前，互聯網提供了普遍互聯的便利，但是這種普遍存在的互聯也導致了其脆弱性的一面，為病毒提供了一條方便之路?！痹茣源涸诜治鼍W絡病毒泛濫的原因時說。

云曉春指出，這種狀況與當前業界對防治網絡病毒所采取的理念有關系。當前，主流的國內廠商對病毒的防治基本上采取的是一種“以點帶面”的措施，即通過對個體病毒的清除實現對全網病毒的清除。但是在整個互聯網環境下，這種理念是有局限性的。很關鍵的一點就是互聯網本身是一個復雜的龐大系統，在這樣的環境下，當前的防治措施很難根除整個的網絡病毒。

目前，所采取的防護措施基本上是有漏洞打補丁，然后再升級。云曉春認為，這種“打補丁”不是一種有效的解決方法，而且這種自動升級，本身就存在很大的缺陷。因此，云曉春主張換個思路來研究網絡病毒。“因為無論是計算機病毒、還是生物病毒，都認為是很難被扼殺的。要用網絡的思想，研究網絡不確定性的規律，研究病毒在網絡上的擴散行為，不但要考慮個體的防護，還要從宏觀的層面上來分析病毒的分布情況。一旦病毒在全網蔓延開來以后，采取什么樣的策略，我們認為應該有一個整體的策略來考慮?！痹茣源赫f。

病毒防治注重全局

云曉春認為，網絡病毒的防治，要有一個整體的觀念。具體來講，應該點面結合，個體自我保護，全局綜合調度。通過防火墻，實現對單機系統和區域網絡病毒的最大化清除；通過VDS形成網絡病毒在網絡傳播上的全局視圖，實現對網絡中感染主機、病毒傳播途徑的定位和新增病毒異常行為的檢測；通過病毒對抗實現對感染主機病毒的主動清除。

云曉春指出，對于網絡病毒的防護措施主要是以防護為主，但是除此之外，還要有相應的檢測、響應及隔離能力。在大規模網絡病毒爆發的時候，能夠通過病毒源的隔離，把疫情降到最低，對于殘留在網絡上的病毒，人們也要有相應的處理能力。

在網絡病毒檢測方面，云曉春主張采取內容級和行為級的綜合檢測。首先，內容級檢測方面，根據病毒程序的特征碼判定網絡病毒的攻擊行為。其次，行為級檢測方面，根據網絡病毒程序的異常行為進行檢測，比如從數據流量的大小和流量的曲線變化上來判定病毒的爆發。另外，還可以采取基于用戶訪問興趣的行為異常檢測。

隨著大規模網絡病毒的爆發，人們需要做的就是盡快地對網絡病毒進行隔離。但是怎么樣才能實現自動化的病毒隔離呢？云曉春認為可以采用末端隔離的方法來實現對疫情的有效控制。云曉春解釋，這種末端隔離的方法是以將病毒源隔離在最后范圍內作為疫情控制的主要目標，主要是利用互聯網動態路由擴散的特性，實現頂層配置，末端生效。“我們可以基于互聯網的這種特性，實現頂層的配置，國家頂層發現這個病毒以后，然后在各個網上進行配置，對于某個病毒源，指向一個作廢的端口。而對于動態IP，可以通過協議控制的方法來實現。”云曉春說。

法律及技術障礙

在病毒的防治過程中，云曉春認為目前還存在著一些法律和技術方面的障礙。法律上的障礙在于A機是否有權向B投送代碼。在現實世界中，如果是某一個強盜入室犯罪以后，只有警察有權進入制止。因此，對于網絡病毒，是不是國家的執法部門有權投送良性病毒？

技術障礙包括兩點：第一，良性病毒的可控性問題。眾所周知，沖擊波病毒出現以后，導致的結果是出現了變種沖擊波殺手，對網絡造成的危害更大。由于沖擊波病毒沒有得到有效控制，遭到其他人的惡意修改，比如增加破壞性程序段、修改原有停止時間、修改掃描頻率和強度等，從而使良性病毒變成惡性病毒。

第二，網絡病毒對抗對網絡的影響問題。良性病毒的擴散同樣會消耗網絡資源，控制不好反而會造成更大的疫情。為了遏止網絡病毒的危害，人們已經采取了許多相應的反病毒技術，但是這些技術慢慢地出現了不適應現實需要的問題。云曉春強調，為了保證互聯網健康有序的發展，人們必須開放性地研究新的策略，研究出新的防病毒技術。